Uit onderzoek van Proofpoint blijkt dat sinds Augustus 2019 een nieuwe downloader, Buer, in opkomst is. Deze malware maakt gebruik van geotargeting, systeemprofilering en anti-analysefuncties. De ontwikkelaars van Buer werken in het Russisch en hebben geavanceerde controlepanelen en uitgebreide functies ingebouwd in de malware. Indien gewenst helpt de ontwikkelaar geïnteresseerde partijen de malware op te zetten. Buer heeft functies die zeer concurrerend zijn met Smoke Loader en wordt actief verkocht in criminele kringen. De eigenschappen maken hem geschikt voor criminelen die op zoek zijn naar een kant-en-klare oplossing.
Buer bevat code zodat hij niet in GOS-landen kan worden gebruikt. De downloader is geschreven in programmeertaal C, terwijl het controlepaneel is geschreven in .NET Core. Hierdoor kan Buer eenvoudig worden geïnstalleerd op de controlepanelen van Linux-servers. Daarnaast zorgt de ingebouwde ondersteuning voor Docker-containers ervoor dat de downloader zich nog makkelijker kan verspreiden. Organisaties kunnen zich beschermen door hun systemen up-to-date en volledig gepatcht te houden. Daarnaast zouden ze een gelaagde verdediging moeten hebben en hun gebruikers trainen om zowel schadelijke e‑mail als risicovolle websites te herkennen.
“Buer zet de trend van de afgelopen twee jaar door waarin we steeds robuustere downloaders en andere ‘stille’ malware zien die ontworpen zijn om op geïnfecteerde apparaten te blijven. Malware zoals Buer biedt cybercriminelen meer doelwitten om van te profiteren, onbekend bij getroffen organisaties. Zodra cybercriminelen binnen zijn in een organisatie, kunnen ze zich lateraal verplaatsen, gegevens stelen of extra malware installeren op andere interessante doelen”, aldus Chris Dawson, Threat Intelligence Lead bij Proofpoint
