RustyBuer Malware

Descoberto pelos pesquisadores de segurança, o RustyBuer é uma nova versão do loader de malware Buer. A ameaça original foi observada pela primeira vez em 2019, quando foi disponibilizada para compra em fóruns de hackers clandestinos. O Buer atua como uma carga inicial que estabelece uma base no sistema visado e prossegue para escalar o ataque com a entrega de ameaças de malware de estágio seguinte. A versão mais recente mantém a mesma funcionalidade com o principal fator de diferenciação sendo que foi escrita na linguagem de programação Rust.

A recriação de ameaças de malware existentes usando linguagens de programação mais novas e menos estabelecidas é uma tendência relativamente recente entre os cibercriminosos. Isso permite que eles evitem soluções de segurança antimalware baseadas em assinaturas que podem detectar facilmente as versões originais das ameaças. Ao mesmo tempo, ele reduz o tempo necessário para liberar a ameaça drasticamente, quando comparado à alternativa de ter que construir um malware totalmente novo.

A Corrente de Ataque do RustyBuer

Na série de ataques envolvendo o malware RustyBuer, os atores da ameaça disseminaram e-mails de isca fingindo vir da empresa de logística internacional DHL. Para adicionar mais legitimidade aos e-mails falsos, os hackers incluíram os logotipos de vários provedores de segurança cibernética. O texto dos e-mails falsos instrui a vítima a abrir o arquivo anexado, geralmente um documento do Word ou Excel como arma. O arquivo corrompido contém uma macro que entrega a ameaça RustyBuer ao sistema. Para evitar a detecção de soluções de segurança de endpoint, a macro aproveita um Bypass de aplicativo.

Uma vez dentro do dispositivo da vítima, o RustyBuer verifica o ambiente em busca de sinais de virtualização. Posteriormente, ele executa uma digitalização de geolocalização para determinar se o usuário é de um país específico da CIS (Comunidade de Estados Independentes) e, se uma correspondência for encontrada, o malware encerra sua execução. O RustyBuer também estabelece um mecanismo de persistência por meio de um arquivo LNK que é iniciado a cada inicialização do sistema.

Cargas Úteis do Próximo Estágio

A análise das campanhas de ataque recentes implantando o RustyBuer revelou que a ameaça é mais consistente com o comportamento observado anteriormente no Buer - os autores da ameaça lançaram um sinalizador do Cobalt Strike nos sistemas violados. O Cobalt Strike é uma ferramenta legítima de teste de penetração, frequentemente explorada por agentes de ameaças que a incorporam em suas operações ameaçadoras.

Em alguns casos, no entanto, depois que o RustyBuer foi estabelecido nos sistemas, os autores da ameaça não escalaram o autor e nenhuma carga útil de segundo estágio foi detectada. Os pesquisadores acreditam que isso é um sinal dos autores da ameaça tentando operar um esquema de acesso como serviço oferecendo a venda do acesso pós-infecção aos sistemas para outros grupos cibercriminosos.

Deve-se notar também que a existência de uma lista de países restritos da região da CEI indica que os operadores da RustyBuer podem ter vínculos com a Rússia.