Buer

Der Buer Trojan Loader wird häufig als Malware-as-a-Service bezeichnet. Dies bedeutet, dass die Entwickler des Buer-Trojaners ihn als Ware auf den unterirdischen Online-Märkten verkaufen. Jeder, der bereit ist zu zahlen, kann dieses Hacking-Tool nutzen. Dies ist insbesondere deshalb bedrohlich, weil nicht nur die Anzahl der Betrüger, die die Bedrohung verbreiten können, unbegrenzt ist, sondern auch, weil der Buer Trojan Loader ein sehr gut entwickeltes Tool ist. Laut Forschern ist der Buer Loader eine Bedrohung, die von russischen Malware-Entwicklern entwickelt wurde. Experten haben Werbung für den Buer-Trojaner in russischer Sprache entdeckt und behauptet, dass Benutzer, die die Bedrohung erwerben, auch kostenlosen Kundensupport und regelmäßige Updates erhalten. Der volle Preis für den Buer-Lader beträgt 400 US-Dollar. Dies ist kein sehr hoher Preis für das, was die Autoren anbieten. Malware-Forscher haben in mehreren verschiedenen Hacking-Kampagnen Kopien des Buer-Trojaners entdeckt, was sie zu der Annahme veranlasste, dass es bereits mehrere bösartige Parteien gibt, die die Bedrohung verbreiten.

Pflanzen zusätzliche Malware auf dem kompromittierten Host

Es scheint, dass die Parteien, die den Buer Loader vertreiben, Phishing-E-Mail-Kampagnen einsetzen. Die betrügerischen E-Mails enthalten häufig eine Dokumentdatei mit Makros, die den beschädigten Code der Bedrohung enthält. Das Fallout Exploit Kit wurde auch als Werkzeug identifiziert, das von den Akteuren verwendet wird, die den Buer-Trojaner verbreiten. Als Trojaner-Loader besteht die Aufgabe der Buer-Malware darin, zusätzliche Bedrohungen für den infizierten Host zu errichten. Einige der Bedrohungen, die in den Buer-Trojaner-Kampagnen als sekundäre Nutzlast verwendet wurden, sind unter anderem Amadey , TrickBot KPOT V2.0 . Der Loader bezieht die Nutzlast der zusätzlichen Bedrohungen vom C & C-Server (Command & Control) des Betreibers.

Selbsterhaltung und Beharrlichkeit erlangt

Die Autoren des Buer-Trojaners haben darauf geachtet, einige Selbsterhaltungstechniken in ihre Kreation einzubauen. Nach der Infektion des Zielhosts überprüft der Buer Loader, ob das eingedrungene System für die Bedrohungsanalyse und das Malware-Debugging verwendet wird. Der Buer-Trojaner prüft, ob Software vorhanden ist, die normalerweise in einer Sandbox-Umgebung vorhanden ist. Dieser Trojaner überprüft auch, ob sich das von ihm kompromittierte System in Russland oder einem anderen ex-sowjetischen Staat befindet. In diesem Fall stellt der Buer-Trojaner den Betrieb ein. Um die Dauerhaftigkeit des infizierten Computers zu gewährleisten, manipuliert der Buer Loader die Windows-Registrierung. Auf diese Weise kann der Buer-Trojaner bei jedem Neustart des angegriffenen Computers ausgeführt werden.

Die Autoren des Buer-Trojaners haben ihr Wort gehalten und eine beträchtliche Anzahl von Updates veröffentlicht, seit sie mit der Operation begonnen haben. Es ist unwahrscheinlich, dass sie ihren Betrieb einstellen, sobald das Interesse an dem Buer Trojan Loader steigt.