Un nuevo loader emerge en el mercado clandestino
El equipo de investigación de Proofpoint ha observado recientemente un nuevo downloader, distribuido tanto como carga inicial a través de correo electrónico y kits de explotación y como carga secundaria en campañas maliciosas de correo electrónico.
El loader, conocido como Buer, dispone de funciones robustas de geotargeting, perfilado de sistemas y evasión de análisis, y actualmente se está comercializando en foros clandestinos con servicios de configuración de valor añadido. El autor (o autores), de habla rusa, están desarrollando activamente el donwloader con sofisticados paneles de control y un amplio grupo de funciones, para que este malware sea competitivo en el mercado negro.
Principales características de Buer
- El nuevo downloader ha aparecido en múltiples campañas –en kits de explotación y en publicidad maliciosa–, como carga secundaria a través de Ostap, y como carga principal para la descarga de malware como el troyano bancario The Trick.
- El downloader, que el autor ha bautizado como Buer, está siendo desarrollado y comercializado activamente en ruso en diversos foros clandestinos; el desarrollador ha publicado notas de la versión, ha creado un panel de control de experiencia de usuario personalizable y ofrece servicios de configuración por una tarifa adicional.
- Buer incluye código para evitar que se ejecute en países de la CEI (Central European Initiative) y un robusto conjunto de funcionalidades para hacerlo persistente y permitir el cifrado, perfilado de sistemas, etc.; el downloader está escrito en C mientras que el panel de control está escrito en .NET, lo que indica que está optimizado para un mejor rendimiento y descarga rápida, así como para instalar fácilmente el panel de control en servidores Linux –el soporte integrado para contenedores Docker facilitará aún más su proliferación en los hosts alquilados con fines maliciosos, y, potencialmente, también en hosts comprometidos. Esta última función ha sido incluida entre las características publicitadas y en las notas técnicas publicadas.
- Las organizaciones pueden protegerse manteniendo sus sistemas actualizados y parcheados, implementando estrategias de defensa por capas y educando a los usuarios para que reconozcan tanto el correo malicioso como los sitios web de alto riesgo.
"Buer continúa la tendencia que hemos estado observando durante los últimos dos años de downloaders y otros malware “silenciosos” cada vez más robustos y diseñados para persistir en los dispositivos infectados. Malware como Buer ofrece a los autores de amenazas objetivos para su posterior explotación, sin que las organizaciones comprometidas lo sepan. Una vez que los autores han conseguido introducirse en una organización, pueden moverse lateralmente, robar datos o instalar malware adicional en otros objetivos de interés", comenta Fernando Anaya, responsable de desarrollo de negocio de Proofpoint para España y Portugal.