Buer: une version du malware codée en Rust a été découverte

0

Les chercheurs en cybersécurité ont révélé une campagne de spam distribuant une nouvelle variante d’un chargeur de logiciels malveillants appelé « Buer » écrit dans le langage de programmation Rust, illustrant comment les adversaires perfectionnent constamment leurs ensembles d’outils de malware pour échapper à l’analyse.

Surnommé « RustyBuer », le malware se propage via des e-mails se faisant passer pour des avis d’expédition de DHL Support, et aurait touché pas moins de 200 organisations depuis le début du mois d’Avril.

« La nouvelle variante de Buer est écrit en Rust, un langage de programmation efficace et facile à utiliser qui est de plus en plus populaire », ont déclaré les chercheurs de Proofpoint dans un rapport. « La réécriture du malware en Rust permet au pirate informatique de mieux échapper aux capacités de détection existantes. »

Introduit pour la première fois en Août 2019, Buer est une offre modulaire de logiciels malveillants en tant que service qui est vendue sur des forums souterrains et utilisée comme téléchargeur de première étape pour fournir des charges utiles supplémentaires, fournissant un compromis initial des systèmes Windows des cibles et permettant à l’attaquant d’établir un pont numérique pour d’autres activités malveillantes. Une analyse de Proofpoint datant de Décembre 2019 caractérise Buer comme un malware codé entièrement en C, et utilisant un panneau de contrôle écrit en .NET Core.

En Septembre 2020, les opérateurs derrière le ransomware Ryuk ont été trouvés en utilisant le malware Buer comme vecteur d’accès initial dans une campagne de spam dirigée contre une victime anonyme. Puis une attaque d’hameçonnage découverte en Février 2021 a utilisé des leurres pour inciter les utilisateurs à ouvrir des documents Microsoft Excel contenant des macros malveillantes, qui téléchargent et exécutent le dropper sur le système infecté.

buer rust

La nouvelle campagne de document malveillant suit un modus operandi similaire, utilisant des e-mails d’hameçonnage sur le sur le modèle de DHL pour distribuer des documents Word ou Excel qui fournissent la variante Rust du chargeur Buer. L’abandon « inhabituel » du langage de programmation C signifie que Buer est maintenant capable de contourner les détections qui sont basées sur les fonctionnalités du malware écrit en C.

« Les logiciels malveillants réécrits, et l’utilisation de leurres plus récents tentant d’apparaître plus légitimes, suggèrent que les pirates informatique tirant parti de RustyBuer sont des techniques en évolution de multiples façons à la fois pour échapper à la détection et tenter d’augmenter les taux de clics», ont déclaré les chercheurs.

Étant donné que Buer agit comme un chargeur de premier étape pour d’autres types de logiciels malveillants, y compris Cobalt Strike et d’autres souches de ransomware, les chercheurs de Proofpoint estiment que les cyber-attaquants peuvent utiliser le chargeur pour prendre pied dans les réseaux cibles et de vendre l’accès à d’autres hackers.

« Lorsque cela est jumelé avec les tentatives des pirates informatique tirant parti de RustyBuer pour légitimer davantage leurs leurres, il est possible que la chaîne d’attaque soit plus efficace pour obtenir l’accès et la persistance », ont conclu les chercheurs.

RustyBuer vient d’une série d’efforts visant à ajouter une couche supplémentaire d’opacité. Les cybercriminels sont de plus en plus attentifs aux nouveaux langages de programmation dans l’espoir que cela permettra au code d’attaque de glisser au-delà des défenses de sécurité. Plus tôt cette année, un malware appelé « NimzaLoader » a été identifié comme écrit dans le langage de programmation Nim, suivie d’un logiciel publicitaire de macOS nommé « Convuster » qui était écrit en Rust.

Vous pourriez aussi aimer
Laisser un commentaire

Votre adresse email ne sera pas publiée.