暗网出现抢手Buer装载机程序

华盟原创文章投稿奖励计划

在最近的几次恶意软件活动中发现了一个新装载机,该装载机程序在暗网有售。

暗网出现抢手Buer装载机程序

一个以前未经注册的模块化加载程序已经成为各种活动中网络犯罪分子的获利工具。研究人员说,该名为Buer的装载机是为寻求交钥匙,现成解决方案的人使用的。

研究人员表示,他们发现,自2019年8月以来一直在主要的暗网热销。因此,Buer在几次恶意电子邮件活动中出现,并通过攻击工具包下载各种恶意软件——从TrickBot banking特洛伊木马到KPOT information stealer。

星期三,Proofpoint研究人员表示:“这种新型装载机具有强大的地理定位、系统分析和反分析功能,目前正在暗网热销,并提供增值设置服务。”

野外Buer

研究人员在8月份的一系列恶意电子邮件中首次发现了Buer,这些邮件声称是对早期合法电子邮件的答复。些电子邮件包含使用宏下载下一阶段有效负载的Microsoft Word附件。

经过进一步的分析,研究人员发现这种有效载荷(verinstere222.xls或verinstere33.exe)的命名规则,与Ursnif的Dreambot频繁地变体相关。 然而,他们惊讶地发现,有效载荷代替了droppe Buer,这是一个以前在野外没有观察到的无证装载机。

 暗网出现抢手Buer装载机程序

他们说:“在9月和10月的接下来的几周中,Proofpoint研究人员和infosec社区的其他成员观察到同一个批人的几个活动,他们抛弃了Ursnif的Dreambot变体或这种新的装载机,”

例如,10月下旬,研究人员观察到装载机是通过放射性尘埃开发工具包(EK)分发的,这是澳大利亚一场恶意攻击活动的一部分。一旦下载作为这项活动,Buer随后会丢弃一些第二阶段恶意软件有效载荷,包括KPOT窃取程序,Amadey恶意软件Smoke
L
oader
恶意软件

而且,在10月底,有人发现Buer通过包含Microsoft Word附件的主题行(如“惩罚通知”PKJWVBP)的恶意电子邮件进行传播。这些附件包含宏,如果启用,将执行osap,然后下载Buer。然后,Buer将依次从其命令和控制(C2)服务器加载银行特洛伊木马 TrickBot 。

技术深潜

8月16日,研究人员在一个下论坛发现了一则广告,描述了一个名为Buer的加载程序,经过证实,该加载程序与恶意软件的功能匹配。这则广告描述了Buer简单易用的安装服务。

研究人员说:“其作者发布的广告中写道,支付400美元购买即可该恶意软件,他们将为客户提供安装该软件的服务,并将其启动并运行。对方还表示,更新和错误修复是免费的,但“重建地址”要收取25美元的附加费。”

 暗网出现抢手Buer装载机程序

研究人员通过对广告内容的解读对Buer的某些功能有所了解,广告描述了它的控制面板,从中可以执行有效载荷和任意命令。

下载程序是用C语言编写的,而它的控制面板是用. NETCore编写的——适用于Windows,Linux和macOS操作系统的免费开源软件框架。

研究人员说,这种编程使人们能够轻松地在Linux服务器上安装控制面板:“内置对Docker容器的支持,将进一步促进其在用于恶意目的的租用主机上的扩散,也可能导致主机受损。后者的功能包含在其广告功能和发行说明中。”

下载后,在执行额外的有效载荷之前,Buer具有反分析功能,可避免被研究人员检测到,从而使Buer可以检查调试器(用于测试和调试其他程序的程序)和虚拟机。加载程序还会检查系统的语言环境,以确保恶意软件未在特定国家/地区运行。

Proofpoint威胁情报主管Chris Dawson表示:“该恶意软件专门针对包括俄罗斯在内的大多数独联体国家进行检查,对于在独联体国家运营或向这些国家的黑客出售恶意软件的人来说,这是较为常见的。”

研究人员说,最后,加载程序通过在下载后配置注册表RunOnce条目来实现持久性。这些键导致程序在用户每次登录(或被调度)时运行;因此,注册表项要么直接执行恶意软件,要么调度任务执行恶意软件。

研究人员警告说,今后,Buer将不断地更换装载机,使其成为一个快速发展的威胁,为将来的使用做好准备。

他们说:“开发者正在积极开发具有复杂控制面板和丰富功能集的下载器,从而使该恶意软件在更具有竞争力。”

本文原创,作者:Jill,其版权均为华盟网所有。如需转载,请注明出处:https://www.77169.net/html/246834.html

发表评论