Buer, un nuevo loader, emerge en el mercado clandestino

11 diciembre, 2019
444 Visualizaciones

 El equipo de investigación de Proofpoint ha observado recientemente un nuevo downloader, distribuido tanto como carga inicial a través de correo electrónico y kits de explotación y como carga secundaria en campañas maliciosas de correo electrónico.

El loader dispone de funciones robustas de geotargeting, perfilado de sistemas y evasión de análisis, y actualmente se está comercializando en foros clandestinos con servicios de configuración de valor añadido. El autor (o autores), de habla rusa, están desarrollando activamente el donwloader con sofisticados paneles de control y un amplio grupo de funciones, para que este malware sea competitivo en el mercado negro.

Principales características de Buer

–          El nuevo downloader ha aparecido en múltiples campañas –en kits de explotación y en publicidad maliciosa–, como carga secundaria a través de Ostap, y como carga principal para la descarga de malware como el troyano bancario The Trick.

–          El downloader, que el autor ha bautizado como Buer, está siendo desarrollado y comercializado activamente en ruso en diversos foros clandestinos; el desarrollador ha publicado notas de la versión, ha creado un panel de control de experiencia de usuario personalizable y ofrece servicios de configuración por una tarifa adicional.

–          Buer incluye código para evitar que se ejecute en países de la CEI (Central European Initiative) y un robusto conjunto de funcionalidades para hacerlo persistente y permitir el cifrado, perfilado de sistemas, etc.; el downloader está escrito en C mientras que el panel de control está escrito en .NET, lo que indica que está optimizado para un mejor rendimiento y descarga rápida, así como para instalar fácilmente el panel de control en servidores Linux –el soporte integrado para contenedores Docker facilitará aún más su proliferación en los hosts alquilados con fines maliciosos, y, potencialmente, también en hosts comprometidos. Esta última función ha sido incluida entre las características publicitadas y en las notas técnicas publicadas.

–          Las organizaciones pueden protegerse manteniendo sus sistemas actualizados y parcheados, implementando estrategias de defensa por capas y educando a los usuarios para que reconozcan tanto el correo malicioso como los sitios web de alto riesgo.

«Buer continúa la tendencia que hemos estado observando durante los últimos dos años de downloaders y otros malware “silenciosos” cada vez más robustos y diseñados para persistir en los dispositivos infectados. Malware como Buer ofrece a los autores de amenazas objetivos para su posterior explotación, sin que las organizaciones comprometidas lo sepan. Una vez que los autores han conseguido introducirse en una organización, pueden moverse lateralmente, robar datos o instalar malware adicional en otros objetivos de interés», comenta Fernando Anaya, responsable de desarrollo de negocio de Proofpoint para España y Portugal.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

Decálogo de seguridad en Internet
Actualidad
999 visualizaciones
Actualidad
999 visualizaciones

Decálogo de seguridad en Internet

José Luis - 8 febrero, 2018

Uno de los elementos más importantes a tener en cuenta es el de no facilitar datos personales a no ser…

Check Point Software amplía Infinity con una completa gama de gateways de seguridad Quantum
Actualidad
6 compartido1,201 visualizaciones
Actualidad
6 compartido1,201 visualizaciones

Check Point Software amplía Infinity con una completa gama de gateways de seguridad Quantum

Aina Pou Rodríguez - 28 abril, 2020

La nueva gama de appliances de la compañía incluye la protección SandBlast Network de día cero  Check Point® Software Technologies…

El grupo de ciberdelincuentes ruso Turla piratea a OilRig para atacar a 35 países
Actualidad
14 compartido2,331 visualizaciones
Actualidad
14 compartido2,331 visualizaciones

El grupo de ciberdelincuentes ruso Turla piratea a OilRig para atacar a 35 países

Alicia Burrueco - 23 octubre, 2019

El ciberataque ha sido anunciado por el NCSC del Reino Unido y por la NSA de EEUU. El Centro Nacional…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.