Phát hiện biến thể mã độc Buer viết bằng ngôn ngữ Rust

07:39 | 24/05/2021
M.H

Các nhà nghiên cứu vừa tiết lộ một chiến dịch spam bằng mã độc phát tán một biến thể mới của Buer được viết bằng ngôn ngữ lập trình Rust.

Biến thể mới có tên RustyBuer, được phát tán qua email giả mạo thông báo giao hàng của bộ phận Hỗ trợ DHL (công ty vận chuyển hàng hóa của Đức). Biến thể này đã ảnh hưởng đến hơn 200 tổ chức từ đầu tháng 4/2021.

Mã độc Buer được biết đến lần đầu vào tháng 8/2019, là một dạng dịch vụ mã độc theo mô-đun và được rao bán trên các diễn đàn ngầm.

Theo đó, tin tặc lừa người dùng tải file có chứa mã độc qua email, sau đó phát tán thêm các payload, tạo điều kiện bước đầu xâm nhập vào các hệ thống mục tiêu của Windows và cho phép kẻ tấn công thiết lập vị trí đổ bộ để thực hiện hành vi độc hại tiếp sau đó.

Phân tích của Proofpoint vào tháng 12/2019 đã mô tả Buer là mã độc được mã hóa hoàn toàn bằng ngôn ngữ C, sử dụng ứng dụng bảng điều khiển viết bằng .NET Core.

Tháng 12/2020, kẻ đứng sau mã độc tống tiền Ryuk bị phát hiện sử dụng trình thả mã độc Buer làm phương tiện xâm nhập ban đầu trong một chiến dịch spam. Sau đó, một cuộc tấn công phishing lừa người dùng mở email có chủ đề về hóa đơn đính kèm tài liệu Microsoft Excel chứa macro độc hại được tiết lộ tháng 02/2021. Trình thả mã độc Buer sau khi được tải về sẽ được thực thi trên hệ thống bị nhiễm.

Cùng với đó, chiến dịch maldoc mới đây đã phân phối trình nạp mã độc sử dụng mô hình tương tự, bằng cách gửi các email có chủ đề về DHL để phát tán các tài liệu Word và Excel đã được mã hóa, qua đó tin tặc sẽ thả biến thể RustyBuer. Biến thể này không sử dụng ngôn ngữ lập trình C thường thấy mà dùng Rust, cho thấy tin tặc luôn tìm cách để nâng cấp cho các mã độc để tránh bị các phần mềm diệt virus phát hiện.

Vì Buer là bước đệm để phát tán các loại mã độc khác (bao gồm cả Cobalt Strike và chuỗi ransomware) nên các nhà nghiên cứu nhận định tin tặc có thể sử dụng biến thể này để chiếm vị trí trong mạng mục tiêu và bán quyền truy cập.