Buer

Program ładujący trojana Buer jest często określany jako Malware-as-a-Service. Oznacza to, że twórcy trojana Buer sprzedają go jako towar na podziemnych rynkach internetowych, a każdy, kto chce zapłacić, może skorzystać z tego narzędzia hakerskiego. Jest to szczególnie groźne, nie tylko dlatego, że nie ma limitu, ilu podmiotów może rozpowszechniać zagrożenie, ale także dlatego, że moduł ładujący trojana Buer jest bardzo dobrze rozwiniętym narzędziem. Według naukowców moduł ładujący buer jest zagrożeniem stworzonym przez rosyjskich twórców szkodliwego oprogramowania. Eksperci zauważyli reklamy trojana Buer napisane w języku rosyjskim, twierdząc, że użytkownicy, którzy kupią zagrożenie, otrzymają również bezpłatną obsługę klienta i regularne aktualizacje. Pełna cena ładowarki Buer wynosi 400 USD, co nie jest bardzo wysoką ceną za to, co oferują jej autorzy. Badacze złośliwego oprogramowania zauważyli kopie trojana Buer w kilku różnych kampaniach hakerskich, co doprowadziło ich do przekonania, że istnieje już wiele nieprzyzwoitych stron propagujących zagrożenie.

Instaluje dodatkowe złośliwe oprogramowanie na zaatakowanym hoście

Wygląda na to, że strony dystrybuujące moduł ładujący Buer mogą wykorzystywać kampanie e-mailowe typu phishing. Fałszywe wiadomości e-mail często zawierają plik dokumentu zawierający makra, który zawiera uszkodzony kod zagrożenia. Fallout Exploit Kit został również zidentyfikowany jako narzędzie wykorzystywane przez aktorów propagujących trojana Buer. Jako program typu trojan, zadaniem złośliwego oprogramowania Buer jest umieszczanie dodatkowych zagrożeń na zainfekowanym hoście. Niektóre z zagrożeń, które zostały wykorzystane jako dodatkowe ładunki w kampaniach Trojan Buer, to między innymi Amadey , TrickBot KPOT V2.0 . Moduł ładujący pobiera ładunki dodatkowych zagrożeń z serwera C&C (Command & Control) operatora.

Osiągnięta samozachowawczość i wytrwałość

Autorzy trojana Buer dołożyli starań, aby wdrożyć niektóre techniki samozachowawcze podczas ich tworzenia. Po zainfekowaniu docelowego hosta moduł ładujący Buer sprawdzi, czy penetrowany system jest wykorzystywany do analizy zagrożeń i debugowania złośliwego oprogramowania. Trojan Buer sprawdzi obecność dowolnego oprogramowania, które zwykle byłoby obecne w środowisku piaskownicy. Trojan sprawdza również, czy zainfekowany system znajduje się w Rosji lub innym państwie byłego Związku Radzieckiego. W takim przypadku trojan Buer przerwie działanie. Aby uzyskać wytrwałość na zainfekowanym komputerze, moduł ładujący Buer zmodyfikuje Rejestr systemu Windows. Umożliwi to uruchomienie trojana Buer przy każdym ponownym uruchomieniu zainfekowanego komputera.

Autorzy trojana Buer dotrzymali słowa i wydali znaczną liczbę aktualizacji od momentu rozpoczęcia operacji. Jest mało prawdopodobne, że przestaną działać wkrótce, gdy zainteresowanie buer trojanem rośnie.

Popularne

Najczęściej oglądane

Ładowanie...