Malware RustyBuer

Descubierto por investigadores de seguridad, RustyBuer es una nueva versión del cargador de malware Buer. La amenaza original se observó por primera vez en 2019 cuando estuvo disponible para su compra en foros de piratas informáticos clandestinos. Buer actúa como una carga útil inicial que establece un punto de apoyo en el sistema objetivo y procede a escalar el ataque con la entrega de amenazas de malware de la siguiente etapa. La versión más reciente conserva la misma funcionalidad con el principal factor diferenciador de que está escrita en el lenguaje de programación Rust.

La recreación de amenazas de malware existentes utilizando lenguajes de programación más nuevos y menos establecidos es una tendencia relativamente reciente entre los ciberdelincuentes. Hacerlo les permite evitar las soluciones de seguridad antimalware basadas en firmas que pueden detectar fácilmente las versiones originales de las amenazas. Al mismo tiempo, reduce drásticamente el tiempo necesario para liberar la amenaza, en comparación con la alternativa de tener que crear un nuevo malware.

Cadena de ataque de RustyBuer

En la serie de ataques que involucran al malware RustyBuer, los actores de la amenaza difundieron correos electrónicos de señuelos que pretendían provenir de la empresa de logística internacional DHL. Para agregar más legitimidad a los correos falsos, los piratas informáticos incluyeron los logotipos de varios proveedores de ciberseguridad. El texto de los correos electrónicos falsos indica a la víctima objetivo que abra el archivo adjunto, generalmente un documento de Word o Excel armado. El archivo dañado contiene una macro que envía la amenaza RustyBuer al sistema. Para evitar la detección de las soluciones de seguridad de endpoints, la macro aprovecha un desvío de aplicaciones.

Una vez dentro del dispositivo de la víctima, RustyBuer verifica el entorno en busca de signos de virtualización. Posteriormente, realiza una verificación de geolocalización para determinar si el usuario es de un país específico de la CEI (Comunidad de Estados Independientes) y, si se encuentra una coincidencia, el malware finaliza su ejecución. RustyBuer también establece un mecanismo de persistencia a través de un archivo LNK que se inicia en cada inicio del sistema.

Cargas útiles de la siguiente etapa

El análisis de las campañas de ataque recientes que implementaron RustyBuer reveló que la amenaza es principalmente consistente con el comportamiento observado previamente en Buer: los actores de la amenaza lanzaron un Cobalt Strike Beacon en los sistemas violados. Cobalt Strike es una herramienta de prueba de penetración legítima que a menudo es explotada por los actores de amenazas que la incorporan en sus operaciones de amenaza.

Sin embargo, en algunos casos, después de que se estableció RustyBuer en los sistemas, los actores de la amenaza no escalaron al actor y no se detectaron cargas útiles de segunda etapa. Los investigadores creen que es una señal de los actores de amenazas que intentan operar un esquema de acceso como servicio que ofrece vender el acceso posterior a la infección a los sistemas a otros grupos de ciberdelincuentes.

También debe tenerse en cuenta que la existencia de una lista de países restringidos de la región de la CEI indica que los operadores de RustyBuer podrían tener vínculos con Rusia.