Los investigadores de Proofpoint identificaron una nueva variante del cargador de malware Buer distribuido a través de correos electrónicos disfrazados de avisos de envío a principios de abril. Buer es un programa de descarga que se vende en mercados clandestinos que se utiliza como punto de apoyo en redes comprometidas para distribuir otro malware, incluido el ransomware . Proofpoint observó por primera vez a Buer en 2019 .
En las campañas asociadas, los correos electrónicos supuestamente provienen del Soporte de DHL. Contenían un enlace a la descarga de un documento malicioso de Microsoft Word o Excel que usaba macros para eliminar la nueva variante de malware. Proofpoint está llamando a esta nueva variante RustyBuer. Los correos electrónicos afectaron a más de 200 organizaciones en más de 50 verticales. La nueva variedad está completamente reescrita en un lenguaje de codificación llamado Rust, una desviación del lenguaje de programación C anterior. Es inusual ver malware común escrito de una manera completamente diferente.
Proofpoint clasificó la nueva variante de Buer (RustyBuer) como una versión reescrita en Rust basada en las características actuales de anti-análisis, cadenas y codificación y formato de las solicitudes de comando y control (C2).
No está claro por qué los actores de amenazas se tomaron el tiempo y el esfuerzo para reescribir el malware en un nuevo lenguaje de programación, sin embargo, los investigadores de Proofpoint identifican dos razones probables:
- Rust es un lenguaje de programación cada vez más popular que es más eficiente y tiene un conjunto de características más amplio que C. (Microsoft, por ejemplo, lo usa cada vez más en sus productos y se unió a la Fundación Rust en febrero de 2021).
- Reescribir el malware en Rust puede permitir al actor de amenazas evadir las detecciones de Buer existentes que se basan en características del malware escritas en C. Los autores de malware lo han programado de manera que debe mantener la compatibilidad con los paneles y servidores backend C2 de Buer existentes.
