Buer

Buer Trojan-lasteren er det som ofte omtales som en Malware-as-a-Service. Dette betyr at skaperne av Buer Trojan selger den som en vare på underjordiske online markeder, og alle som er villige til å betale kan dra nytte av dette hackingverktøyet. Dette truer spesielt, ikke bare fordi det ikke er noen begrensning for hvor mange ulemper som kan distribuere trusselen, men også fordi Buer Trojan-lasteren er et veldig godt utviklet verktøy. Ifølge forskere er Buer-lasteren en trussel som er blitt bygget av russiske malware-utviklere. Eksperter har oppdaget annonser for Buer Trojan skrevet på russisk og hevder at brukere som kjøper trusselen også vil få gratis kundesupport og regelmessige oppdateringer. Full pris for Buer-lasteren er $ 400, noe som ikke er en veldig høy pris for hva forfatterne tilbyr. Malware-forskere har oppdaget kopier av Buer Trojan i flere forskjellige hackingkampanjer, noe som førte dem til å tro at det allerede er flere dårlig tenkende partier som forplanter trusselen.

Planter ytterligere skadelig programvare på den kompromitterte verten

Det ser ut til at partene som distribuerer Buer-lasteren kan bruke phishing-e-postkampanjer. De uredelige e-postene vil ofte inneholde en makro-laced dokumentfil som har den ødelagte koden til trusselen. Fallout Exploit Kit er også blitt identifisert som et verktøy som brukes av skuespillerne som forplanter Buer Trojan. Som en trojan-laster er jobben til Buer-malware å plante ytterligere trusler mot den kompromitterte verten. Noen av truslene som har blitt brukt som sekundær nyttelast i Buer Trojan-kampanjene er blant andre Amadey , TrickBot KPOT V2.0 . Lasteren henter nyttelast av de ekstra truslene fra operatørenes C & C (Command & Control) server.

Selvbevaring og vedvarende oppnådd

Forfatterne av Buer Trojan har sørget for å implementere noen selvbevarende teknikker i opprettelsen. Ved infeksjon av den målrettede verten, vil Buer-lasteren kontrollere om det penetrerte systemet brukes til trusselanalyse og malware feilsøking. Buer Trojan vil se etter tilstedeværelsen av all programvare som vanligvis vil være til stede i et sandkassemiljø. Denne trojaneren sjekker også om systemet den har kompromittert er lokalisert i Russland eller noen annen eks-sovjetisk stat. Hvis dette er tilfelle, vil Buer Trojan stoppe operasjonen. For å få utholdenhet på den infiserte maskinen, vil Buer-lasteren tukle med Windows-registeret. Dette vil tillate Buer Trojan å kjøre hver gang den kompromitterte datamaskinen startes på nytt.

Forfatterne av Buer Trojan har holdt ord på seg og har gitt ut et betydelig antall oppdateringer siden de startet operasjonen. Det er ikke sannsynlig at de vil slutte å virke så snart interessen for Buer Trojan-lasteren vokser.