ProofPoint, compañía especializada en ciberseguridad, ha descubierto que Buer, un malware surgido en 2019, ha regresado, pero esta vez escrito en Rust para hacerlo más difícil de detectar. Los atacantes se hacen pasar por una conocida empresa de mensajería para engañar a los usuarios.
Originalmente, Buer estaba construido en C y, una vez distribuido, facilitaba el acceso de los ciberdelincuentes a una red para poder explotar vulnerabilidades, insertar malware o incluso llevar a cabo ataques de ransomware. Ahora, su objetivo sigue siendo el mismo, pero se ha adaptado a Rust con la intención de pasar desapercibido, haciéndolo aún más peligroso. Por ello, los investigadores han rebautizado la nueva versión como “RustyBuer”, haciendo alusión a este lenguaje de programación.
Además de ser más difícil de detectar, también es más fácil caer en la trampa, ya que los atacantes utilizan técnicas cada vez más refinadas. Así lo explicó el equipo de ProofPoint en su comunicado: «el malware reescrito y el uso de señuelos más nuevos que intentan parecer más legítimos, sugieren que los actores de amenazas que aprovechan RustyBuer están desarrollando técnicas de múltiples formas para evadir la detección e intentar aumentar las tasas de clics«.
La compañía sugiere que los actores de amenazas han optado por el uso de Rust, principalmente, por dos razones:
- Su popularidad es cada vez mayor y, además, presenta ciertas ventajas frente a C, como una mejor gestión de memoria, que lo hacen más eficaz.
- El malware, ahora escrito en Rust, permite a los criminales evadir los controles de seguridad ya establecidos para Buer, ya que se basan en características escritas en C de la antigua versión.
¿Cómo funciona RustyBuer?
Aprovechando el aumento de las compras online motivado por la pandemia, los atacantes envían emails de phishing masivamente en nombre de DHL. Su modus operandi es el de enviar documentos de Excel o Word que los usuarios deben descargar para obtener información detallada sobre sus supuestos pedidos.
Una vez que la víctima descarga el archivo, se le solicita que active la edición ya que el documento se encuentra protegido por defecto. Los logos corporativos de la empresa incluidos en el mensaje pueden llevar a pensar al usuario que se trata de una fuente de confianza y, por ende, a desbloquear ese fichero.
No obstante, ese es el primer paso para que el malware actúe. Si el usuario decide hacerlo, se activarán las macros que instalan RustyBuer y que permiten a los atacantes crear una puerta trasera para acceder al sistema y, por tanto, hacerlo susceptible de sufrir todo tipo de ataques informáticos, incluyendo el ransomware.
En esta ocasión, se demuestra una vez más que los actores de amenazas están más activos que nunca. Con esta nueva versión, los creadores de Buer han encontrado una fuente de ingresos muy rentable, ya que pueden vender directamente su software malicioso a terceros con malas intenciones o, simplemente, vender el acceso a los ordenadores que ya estén infectados.
El reciente auge de Rust
El uso de Rust está cada vez más extendido a nivel global y esto también se aplica a los ciberdelincuentes. Recientemente, supimos que su comunidad es la que más ha crecido en los últimos 12 meses, pasando de contar con 800.000 desarrolladores a 1,3 millones. Y es que este año ha supuesto un impulso para este lenguaje creado por Mozilla por varias razones.
Precisamente, Google decidió hacerlo compatible con el desarrollo de Android para suplir los errores de memoria que presentan otros idiomas como C y C++ en las capas inferiores del sistema operativo. La compañía de Mountain View considera que la mayoría de brechas de seguridad de esta índole no ocurren con el código viejo ya implementado, así que su idea es la de emplear Rust solamente en las líneas de código nuevas o recientes.
Sin duda, Rust está de moda. El lenguaje creado por Mozilla en 2010 ha conseguido un apoyo tremendo más de una década después. Tanto es así, que en febrero de este año surgió la Fundación Rust, una organización sin ánimo de lucro cuyo objetivo es el de impulsar y pulir este lenguaje. Cada vez más compañías tecnológicas relevantes se están uniendo a esta causa. A día de hoy, cuenta con el apoyo de gigantes como Google, Microsoft, Amazon Web Services o Facebook, que fue el último en sumarse a la iniciativa hace una semana.
Imagen de methodshop en Pixabay