Buer, le nouveau loader utilisé par les cybercriminels

Un nouveau loader, nommé Buer, est utilisé par des cybercriminels pour lancer des campagnes de piratage.

Les chercheurs ont découvert que le loader était en vente sur le marché noir depuis Août 2019. Buer a été aperçu dans plusieurs campagnes d’emails malveillants et via des kits d’exploit. Le loader télécharge ensuite plusieurs types de malware sur le système de la cible, comme le trojan bancaire Trickbot ou le voleur d’informations KPOT.

Le nouveau loader possède des fonctionnalités robustes de ciblage géographique, de profilage de système et d’anti-analyse et est actuellement vendu sur des forums du marché noir avec des services de configuration à valeur ajoutée,” ont déclaré les chercheurs de Proofpoint.

Buer se propage

Les chercheurs ont découvert que Buer se propager grâce à l’aide d’emails malveillants en Août. Les emails contenaient des fichier joints Microsoft Word qui utilisaient des macros pour télécharger un payload.

Après une analyse plus poussée, les chercheurs ont trouvé le nom du payload (verinstere222.xls ou verinstere33.exe), ce dernier est fréquemment associé à la variante Dreambot de Ursnif. Cependant, ils ont été surpris de découvrir que le payload était associé à Buer, un loader inconnu.

Buer

“Durant les semaines qui ont suivi, en Septembre et en Octobre, les chercheurs de Proofpoint et d’autres membres de la communauté de la sécurité informatique ont observé plusieurs campagnes utilisant soit la variante Dreambot de Ursnif, soit ce nouveau loader.”

Par exemple, en Octobre les chercheurs ont observé que que le loader était distribué via le kit d’exploit Fallout, dans une campagne de malvertising en Australie. Une fois téléchargée, Buer charge des malwares avancées comme KPOT, Amadey et Smoke Loader.

A la fin du mois d’Octobre, Buer se propageait via des emails malveillants avec des lignes d’objet tels que “Penalty Notice #PKJWVBP” et qui contiennent des fichiers joints Microsoft Word. Ces fichiers joints contenaient des macros qui, si activé, exécute Ostape qui se charge de télécharger Buer. Buer installe ensuite TrickBot, un trojan bancaire populaire, depuis son serveur command-and-control.

Détails techniques de Buer

La présence de Buer dans plusieurs campagnes a emmené les chercheurs à conclure qu’il était en vente sur le marché noir. Cela a été confirmé quand ils ont découvert une annonce publicitaire datant du 16 Août sur un forum. Cette annonce décrivait un loader nommé Buer dont les fonctionnalités correspondaient au malware découvert récemment.

“Nous avons trouvé une annonce en Russe postée sur un forum par l’auteur, demandant une somme de 400 dollars (360€) pour obtenir le malware. Il offrait aussi ses services pour aider les clients à configurer le malware.” ont déclaré les chercheurs. “L’auteur ajoute aussi que les mises à jour et les patchs sont gratuits mais qu’il y’a une surtaxe de 25 dollars (22,50€) pour reconstituer de nouvelles adresses.”

L’annonce publicitaire a aussi permis aux chercheurs de se faire une idée des fonctionnalités de Buer et d’avoir une description du panneau de contrôle, depuis lequel des payloads et des commandes arbitraires peuvent être exécuté.

Le downloader (téléchargeur) est programmé en C, alors que son panneau de contrôle est écrit en .NET Core, une framework libre et gratuite pour les systèmes d’exploitations Windows, Linux et MacOS.

Les chercheurs affirment que cette programmation permet d’installer facilement le panneau de contrôle sur les réseaux Linux.

Une fois téléchargée, et avant d’exécuter les payloads additionnels, Buer a des capacités d’anti-analyses pour éviter de se faire détecter par les chercheurs. Il vérifie la présence de débogueurs et de machines virtuelles. Le loader vérifie aussi la position géographique du système pour être sûr de ne pas exécuter le malware dans certains pays.

“Ce malware semble faire attention aux pays de la CEI (Communauté des Etats Indépendants), y compris la Russie,” selon Chris Dawson, un chercheur de Proofpoint. “C’est assez commun chez les pirates opérant dans les pays de la CEI ou qui vendent des malwares aux hackers vivant dans ces pays.”

Pour finir, le loader devient persistent en configurant l’entrée de registre RunOnce après le téléchargement. Ces clés de registre permettent d’ordonner à un programme de s’exécuter à chaque démarrage (ou de planifier son exécution). Le registre exécutera donc le malware directement ou planifiera une tâche pour l’exécuter.

Les chercheurs ont signalé que le développeur de Buer apporte constamment des modifications au malware et que c’est donc une menace qui se développe rapidement.

Poster un Commentaire

avatar
  S’abonner  
Notifier de