Nuevo descargador de malware buer reescrito en lenguaje EZ Rust - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Nuevo descargador de malware buer reescrito en lenguaje EZ Rust

Hola y mil gracias por leerme. Soy Eduardo Arroyo y esta vez hablaremos sobre Nuevo descargador de malware buer reescrito en lenguaje EZ Rust

Nuevo descargador de malware buer reescrito en lenguaje EZ Rust

Viene en correos electrónicos disfrazados de avisos de despacho de soporte de DHL y aparentemente se está preparando para el arrendamiento del metro.

Una variante del malware Buer, que se distribuye en correos electrónicos disfrazados de avisos de envío de soporte de DHL, viene con una nueva reescritura del código en el popular lenguaje Rust y parece estar en preparación para su arrendamiento a otros ciberdelincuentes.

Únase a Threatpost para «Fortalecer su negocio contra ataques de ransomware, DDoS y Cryptojacking», un panel de discusión EN VIVO el miércoles 12 de mayo a las 2 pm EDT para este seminario web GRATUITO patrocinado por Zoho ManageEngine.

El uso del lenguaje de programación Rust, cada vez más popular, eficiente y fácil de usar, ayudará al malware a superar la detección, dijeron los investigadores de Proofpoint en un mandar el lunes por la mañana. Los correos electrónicos manipulados vienen en dos versiones. Uno está escrito en el lenguaje de programación más típico de C. El otro está escrito en Rust, un cambio táctico que lo ayudará a pasar de puntillas a través de la detección para obtener más clics.

Buer es lo que se conoce como un descargador de primera etapa: una pieza de malware de contrabando que los actores de amenazas utilizan para afianzarse en las redes comprometidas. Estas herramientas de ataque instalan otros tipos de malware durante y después de las campañas de phishing. La investigación de Proofpoint muestra que estos descargadores se han vuelto cada vez más robustos en los últimos años, y cuentan con capacidades de creación de perfiles y orientación cada vez más avanzadas.

Proofpoint se encontró por primera vez con Buer en 2019, y sus investigadores detectaron la nueva variante a principios de abril. Así es como se ve el correo electrónico con trampas explosivas con temática de DHL:

Cualquier desafortunado que haga clic en el archivo adjunto malicioso de Microsoft Word o Excel desencadenará una caída de la nueva variante de Buer escrita en Rust, que los investigadores llaman RustyBuer. Está abriendo un amplio camino en Internet: más de 200 organizaciones en más de 50 verticales se han visto afectadas por la campaña, dice Proofpoint.

El descargador de primera etapa tiene una entrega de segunda etapa desagradable: en algunos casos, Proofpoint ha visto campañas de phishing lanzar una baliza de Cobalt Strike. Cobalt Strike es una herramienta de prueba de penetración legítima que se ha convertido en una de las favoritas de los actores de amenazas.

Pero no siempre. En algunas campañas, los atacantes omitieron las cargas útiles de la segunda etapa. Por lo que los investigadores pueden determinar, esto podría deberse a que los autores de malware están configurando la nueva variante para alquilar a otros actores de amenazas en el modelo de acceso como servicio al mercado clandestino: un servicio de distribución que ya se ha utilizado para aprovechar de Buer.

Los investigadores dicen que la nueva variante de Rust completamente reescrita es una desviación inusual de la preferencia mucho más común de los desarrolladores de malware por el lenguaje de programación C. No está claro por qué los actores de amenazas se tomaron el tiempo y el esfuerzo para traducir el código, pero hay algunos posibilidades: primero, Rust es más eficiente, tiene más funcionalidad y es cada vez más popular.

Los fanáticos del óxido incluyen a Microsoft, que se unió a la Fundación Rust en febrero y utiliza cada vez más el lenguaje en los productos. Es notable dado este los productos de la empresa están llenos de C / C ++. Parece que toda esa vitamina C no es buena para nosotros: en 2019, Alex Gaynor, un ingeniero de resiliencia de software y exdirector de Python Software Foundation y Django Software Foundation, argumentó que estos lenguajes de «memoria insegura», es decir, C y C ++: introduce un archivo número de seguridad inaceptable vulnerabilidad y que la industria en su conjunto necesita migrar a lenguajes seguros para la memoria como Rust y Swift de forma predeterminada.

¿Están los desarrolladores del descargador Buer tratando de proteger su código de errores de memoria? Los investigadores de Proofpoint teorizan que probablemente tenga más que ver con sobrepasar la detección. «El malware reescrito y el uso de cebos más nuevos que intentan parecer más legítimos sugieren que las amenazas que explotan a RustyBuer están evolucionando técnicas de varias formas, tanto para evadir la detección como para intentar aumentar las tasas de clics», dijo Proofpoint en su aviso. . «Reescribir el malware en Rust puede permitir al actor de amenazas evadir las detecciones de Buer existentes en función de la funcionalidad del malware escrito en C.»

Desafortunadamente, se espera que la variante reescrita mantenga la compatibilidad con los servidores existentes y los paneles Buer de backend de comando y control (C2), dicen los investigadores.

Para reforzar la legitimidad de los correos electrónicos de phishing, los autores de malware los han rociado con logotipos. Aquí hay un ejemplo, con la marca y los logotipos de Microsoft de un puñado de empresas de seguridad.

Los destinatarios deben hacer clic en la macro del documento para iniciar una infección. Después de eso, la macro realizará una omisión de la aplicación (DLL de shell de Windows a través de LOLBAS) para evitar la detección por parte de la seguridad del punto final.

¿Se pregunta de dónde viene el nombre? De acuerdo a una Entrada de Wikipedia (aunque, uno que necesita citas adicionales), es un espíritu que apareció en el grimorio del siglo XVI Pseudomonarchia Daemonum. Se le describe como un gran presidente del infierno, se le representa como una cabeza de león rodeada por un círculo de cinco patas para que pueda caminar en cualquier dirección y debería comandar 50 legiones de demonios, una metáfora decente para el malware que se alquila a los ciberdelincuentes. y tiene predilección por aprender un nuevo idioma.

.

Recuerda compartir en una historia de tu Instagram para que tus amigos lo sepan

??? ? ? ???

Comparte