Buer

De Buer Trojan-lader is wat vaak wordt aangeduid als een Malware-as-a-Service. Dit betekent dat de makers van de Buer Trojan het als grondstof verkopen op ondergrondse online markten en iedereen die bereid is te betalen, kan profiteren van deze hacktool. Dit is met name bedreigend, niet alleen omdat er geen limiet is op hoeveel oplichters de dreiging kunnen verspreiden, maar ook omdat de Buer Trojan-lader een zeer goed ontwikkeld hulpmiddel is. Volgens onderzoekers is de Buer-lader een bedreiging die is gebouwd door Russische malware-ontwikkelaars. Experts hebben advertenties voor de Buer-trojan in het Russisch gezien en beweren dat gebruikers die de dreiging kopen ook gratis klantenondersteuning en regelmatige updates krijgen. De volledige prijs voor de Buer-lader is $ 400, wat geen erg hoge prijs is voor wat de auteurs aanbieden. Malware-onderzoekers hebben kopieën van de Buer Trojan gespot in verschillende hackcampagnes, waardoor ze geloofden dat er al meerdere onbewuste partijen de dreiging propageren.

Plant extra malware op de gecompromitteerde host

Het lijkt erop dat de partijen die de Buer-lader distribueren, phishing-e-mailcampagnes gebruiken. De frauduleuze e-mails bevatten vaak een macro-geregen documentbestand met de beschadigde code van de dreiging. De Fallout Exploit Kit is ook geïdentificeerd als een hulpmiddel dat wordt gebruikt door de acteurs die de Buer Trojan propageren. Als Trojan-lader is het de taak van de Buer-malware om extra bedreigingen te planten op de gecompromitteerde host. Sommige van de bedreigingen die zijn gebruikt als secundaire payloads in de Buer Trojan-campagnes zijn Amadey , TrickBot KPOT V2.0 , en nog enkele andere. De lader pakt de lading van de extra bedreigingen van de C & C-server (Command & Control) van de operator.

Zelfbehoud en doorzettingsvermogen verkregen

De auteurs van de Buer Trojan hebben ervoor gezorgd dat sommige zelfbehoudstechnieken in hun creatie zijn geïmplementeerd. Bij het infecteren van de beoogde host zal de Buer-lader controleren of het gepenetreerde systeem wordt gebruikt voor analyse van bedreigingen en het opsporen van malware. De Buer Trojan controleert op de aanwezigheid van software die normaal gesproken in een sandbox-omgeving aanwezig zou zijn. Deze Trojan controleert ook of het systeem dat het heeft aangetast zich in Rusland of een andere ex-Sovjetstaat bevindt. Als dit het geval is, stopt de Buer-trojan de bewerking. Om persistentie op de geïnfecteerde machine te krijgen, zal de Buer-lader knoeien met het Windows-register. Hierdoor kan de Buer-trojan worden uitgevoerd telkens wanneer de gecompromitteerde computer opnieuw wordt opgestart.

De auteurs van de Buer Trojan hebben hun woord gehouden en hebben een aanzienlijk aantal updates vrijgegeven sinds ze met de operatie begonnen. Het is onwaarschijnlijk dat ze zullen stoppen met werken zodra de interesse in de Buer Trojan-lader groeit.