Buer

O Trojan loader Buer é o que geralmente é chamado de Malware-como-um-Serviço. Isso significa que os criadores do Buer Trojan o estão vendendo como uma mercadoria nos mercados on-line clandestinos, e quem estiver disposto a pagar pode tirar proveito dessa ferramenta de hackers. Isso é particularmente ameaçador, não apenas porque não há limite para quantos agentes podem distribuir a ameaça, mas também porque o carregador Buer Trojan é uma ferramenta muito bem desenvolvida. Segundo os pesquisadores, o loader do Buer é uma ameaça criada pelos desenvolvedores de malware russos. Especialistas viram anúncios do Trojan Buer escritos em russo, alegando que os usuários que comprarem a ameaça também receberão suporte gratuito ao cliente e atualizações regulares. O preço total do loader do Buer é de US $400, o que não é um preço muito alto para o que seus autores estão oferecendo. Os pesquisadores de malware detectaram cópias do Trojan Buer em várias campanhas diferentes de hackers, o que os levou a acreditar que já existem várias partes mal-intencionadas propagando a ameaça.

Planta Malware Adicional no Host Comprometido

Parece que as partes que distribuem o loader do Buer podem estar empregando campanhas de e-mail de phishing. Os e-mails fraudulentos geralmente contêm um arquivo de documento com macro-atalho que carrega o código corrompido da ameaça. O Fallout Exploit Kit também foi identificado como uma ferramenta usada pelos atores que propagam o Trojan Buer. Como um loader do Trojan, o trabalho do malware Buer é plantar ameaças adicionais no host comprometido. Algumas das ameaças que foram usadas como cargas secundárias nas campanhas do Buer Trojan são o Amadey, o TrickBot e o KPOT V2.0, entre várias outras. O loader pega cargas úteis das ameaças adicionais do servidor de C&C (Comando e Controle) dos operadores.

Auto-Preservação e Persistência Obtida

Os autores do Trojan Buer garantiram a implementação de algumas técnicas de autopreservação em sua criação. Ao infectar o host alvo, o carregador Buer verifica se o sistema penetrado é usado para análise de ameaças e depuração de malware. O Buer Trojan verificará a presença de qualquer software que normalmente estaria presente em um ambiente sandbox. Este Trojan também verifica se o sistema comprometido está localizado na Rússia ou em qualquer outro estado ex-soviético. Se for esse o caso, o Buer Trojan interromperá a operação. Para obter persistência na máquina infectada, o carregador Buer adulterará o registro do Windows. Isso permitirá que o Trojan Buer seja executado sempre que o computador comprometido for reiniciado.

Os autores do Buer Trojan mantiveram sua palavra e lançaram um número significativo de atualizações desde o início da operação. Não é provável que eles parem de operar muito em breve, pois o interesse no carregador Buer Trojan está aumentando.