Une nouvelle variante du chargeur de malware Buer a été détectée, écrite en Rust. La version originale est écrite en C.Rust est efficace, facile à utiliser et un langage de programmation de plus en plus populaire – Microsoft l’utilise et a rejoint la Rust Foundation en février 2021.

Les chercheurs de Proofpoint ont identifié la nouvelle variante au début d’avril 2021 et l’ont nommée RustyBuer. Comme Buer, il fonctionne comme un téléchargeur pour distribuer d’autres logiciels malveillants aux systèmes compromis. La raison la plus probable du développement d’une variante de Rust est d’échapper aux détections anti-malware basées sur les fonctionnalités du malware écrites en C.

Dans les campagnes associées détectées par Proofpoint, le malware est distribué par des e-mails de phishing sur le thème de DHL et est utilisé pour diffuser des documents Word ou Excel malveillants.

Dans un exemple, une pièce jointe Excel avait RustyBuer incorporé en tant que macro. Le document montrait plusieurs logos d’entreprises de sécurité, vraisemblablement dans le but d’ajouter de la légitimité. La macro a exploité un contournement d’application (DLL Windows Shell via LOLBAS) pour échapper à la détection des mécanismes de sécurité des points de terminaison.

Figure 1. Pièce jointe Excel malveillante RustyBuer

Si le document est affiché, RustyBuer est supprimé et la persistance est établie à l’aide d’un LNK fichier qui s’exécute au démarrage. Les chercheurs de Proofpoint ont vu le chargeur livrer Cobalt Strike Beacon en tant que charge utile de deuxième étage, mais tous les échantillons ne contenaient pas de charge utile de deuxième étage. Dans ce dernier cas, disent les chercheurs, «ces acteurs de la menace tentent peut-être d’établir un accès initial dans des environnements victimes pour ensuite vendre leur accès à d’autres acteurs de la menace sur des marchés clandestins.»

RustyBuer tente d’éviter l’analyse en recherchant des machines virtuelles. Il a également un contrôle géographique limité pour éviter de courir dans des pays spécifiques – principalement, semble-t-il, dans des pays semblant faire partie de la Communauté d’États indépendants (CEI). Cela pourrait être une indication que …