Buer

El cargador de troyanos Buer es lo que a menudo se denomina Malware-as-a-Service. Esto significa que los creadores del troyano Buer lo están vendiendo como un producto básico en los mercados subterráneos en línea, y cualquiera que esté dispuesto a pagar puede aprovechar esta herramienta de piratería. Esto es particularmente amenazante, no solo porque no hay límite en la cantidad de estafadores que pueden distribuir la amenaza, sino también porque el cargador de troyanos Buer es una herramienta muy bien desarrollada. Según los investigadores, el cargador Buer es una amenaza creada por desarrolladores rusos de malware. Los expertos han detectado anuncios del troyano Buer escritos en ruso que afirman que los usuarios que compren la amenaza también recibirán atención al cliente gratuita y actualizaciones periódicas. El precio total del cargador Buer es de $ 400, que no es un precio muy alto por lo que ofrecen sus autores. Investigadores de malware han detectado copias del troyano Buer en varias campañas de piratería, lo que les hizo creer que ya hay varias partes mal intencionadas que propagan la amenaza.

Planta malware adicional en el host comprometido

Parece que las partes que distribuyen el cargador Buer pueden estar empleando campañas de correo electrónico de phishing. Los correos electrónicos fraudulentos a menudo contendrían un archivo de documento macro-atado que lleva el código corrupto de la amenaza. El Fallout Exploit Kit también ha sido identificado como una herramienta utilizada por los actores que propagan el troyano Buer. Como cargador de troyanos, el trabajo del malware Buer es plantar amenazas adicionales en el host comprometido. Algunas de las amenazas que se han utilizado como cargas secundarias en las campañas de Buer Trojan son Amadey , TrickBot KPOT V2.0 , entre otras. El cargador toma las cargas útiles de las amenazas adicionales del servidor de C&C (Comando y Control) de los operadores.

Preservación propia y persistencia obtenida

Los autores del troyano Buer se han asegurado de implementar algunas técnicas de autoconservación en su creación. Al infectar el host objetivo, el cargador Buer verificará si el sistema penetrado se utiliza para el análisis de amenazas y la depuración de malware. El troyano Buer verificará la presencia de cualquier software que normalmente estaría presente en un entorno sandbox. Este troyano también verifica si el sistema que ha comprometido está ubicado en Rusia o en cualquier otro estado ex soviético. Si este es el caso, el troyano Buer cesará la operación. Para ganar persistencia en la máquina infectada, el cargador Buer alterará el Registro de Windows. Esto permitirá que el troyano Buer se ejecute cada vez que se reinicie la computadora comprometida.

Los autores del troyano Buer han mantenido su palabra y han publicado un número significativo de actualizaciones desde que comenzaron la operación. No es probable que dejen de funcionar muy pronto ya que el interés en el cargador de troyanos Buer está creciendo.