Buer

Buer Trojan-loader är det som ofta kallas Malware-as-a-Service. Detta innebär att skaparna av Buer Trojan säljer den som en vara på underjordiska online-marknader, och alla som är villiga att betala kan dra nytta av detta hackverktyg. Detta hotar särskilt, inte bara för att det inte finns någon begränsning för hur många samspelare som kan distribuera hotet utan också för att Buer Trojan-laddaren är ett mycket välutvecklat verktyg. Enligt forskare är Buer-lastaren ett hot som har byggts av ryska skadliga utvecklare. Experter har upptäckt annonser för Buer Trojan skriven på ryska och hävdar att användare som köper hotet också kommer att få gratis kundsupport och regelbundna uppdateringar. Det fulla priset för Buer-lastaren är $ 400, vilket inte är ett mycket högt pris för vad författarna erbjuder. Malware-forskare har upptäckt kopior av Buer Trojan i flera olika hackningskampanjer, vilket ledde till dem att tro att det redan finns flera dåliga sinnespartier som sprider hotet.

Planterar ytterligare skadlig programvara på den komprometterade värden

Det verkar som om de parter som distribuerar Buer-laddaren kan använda phishing-e-postkampanjer. De falska e-postmeddelandena skulle ofta innehålla en makro-spetsad dokumentfil som innehåller den skadade koden för hotet. Fallout Exploit Kit har också identifierats som ett verktyg som används av skådespelarna som propagerar Buer Trojan. Som en trojan-laddare är jobbet för Buer-malware att plantera ytterligare hot på den komprometterade värden. Några av hoten som har använts som sekundär nyttolast i Buer Trojan-kampanjerna är Amadey , TrickBot KPOT V2.0 , bland flera andra. Lastaren tar tag i nyttolast av ytterligare hot från operatörernas C&C (Command & Control) -server.

Självskydd och uthållighet

Författarna till Buer Trojan har sett till att implementera vissa självbevarande tekniker i skapandet. Efter att ha infekterat den riktade värden kommer Buer-laddaren att kontrollera om det penetrerade systemet används för hotanalys och felsökning av skadlig programvara. Buer Trojan kommer att kontrollera om det finns programvara som vanligtvis skulle finnas i en sandlådemiljö. Denna trojan kontrollerar också om systemet det har komprometterat är beläget i Ryssland eller någon annan ex-sovjetisk stat. Om detta är fallet kommer Buer Trojan att upphöra med operationen. För att få uthållighet på den infekterade maskinen kommer Buer-laddaren att manipulera med Windows-registret. Detta gör att Buer Trojan kan köras varje gång den komprometterade datorn startas om.

Författarna till Buer Trojan har hållit sitt ord och har släppt ett betydande antal uppdateringar sedan de började operationen. Det är inte troligt att de kommer att upphöra att fungera mycket snart intresset för Buer Trojan-loader växer.