Matanbuchus Malware-as-a-Service in Hacking-Foren vermietet

Die Matanbuchus-Malware ist eine neu identifizierte Loader-Malware. Typischerweise sind Bedrohungen dieser Art nicht der Kern von Hackerangriffen, sondern werden verwendet, um nachfolgende Nutzlasten zu liefern sowie Schwachstellen in der Systemsicherheit auszunutzen. Kurz gesagt, die Matanbuchus-Malware wurde entwickelt, um die Sicherheit zu umgehen, eine Entdeckung zu vermeiden und zusätzliche Malware auf infizierten Geräten bereitzustellen. Die Malware wurde erstmals durch Anzeigen entdeckt, die von ihrem Autor BelialDemon in Hacking-Foren veröffentlicht wurden. Der Kriminelle verlangt einen Mietpreis von 2.500 US-Dollar und bot neuen Käufern begrenzte Plätze an – wahrscheinlich ein Versuch, die Nutzlast unter dem Radar zu halten oder noch exklusiver erscheinen zu lassen.

Laut dem Entwickler von Matanbuchus Malware ist der Loader in der Lage, Nutzlasten über eine DLL- oder EXE-Datei in den Systemspeicher zu laden. Es kann auch den Windows-Taskplaner missbrauchen, um die Persistenz der Nutzlast zu gewähren. Darüber hinaus kann die Matanbuchus-Malware PowerShell-Befehle ausführen, die den böswilligen Betreibern des Implantats völlig neue Möglichkeiten eröffnen.

Das Besondere am Autor der Bedrohung ist, dass dies nicht ihr erstes Rodeo ist, wenn es um Trojan Loader geht. In der Vergangenheit haben sie Anzeigen für einen anderen speziell angefertigten Lader namens TriumphLoader veröffentlicht. Die neue Matanbuchus-Malware scheint jedoch im Vergleich zu ihrem Vorgänger viel fortschrittlicher zu sein.

Leider scheint die Malware-as-a-Service (MaaS)-Operation von Matanbuchus bereits aktiv zu sein, und der Kriminelle hat Kunden/Komplizen gefunden. Payloads wurden in Microsoft Excel-Dokumenten mit Makros entdeckt, und die massive Netzwerkinfrastruktur hinter der Operation ist bereits aktiv. Cybersicherheitsexperten konnten eine breite Palette von Domainnamen aufdecken, die generische „sichere“ Wörter in ihren Namen verwenden – ein grundlegender Versuch, dem Opfer den Eindruck zu erwecken, dass es eine gültige Domain besucht. Einige der gefälschten Domains, die von der Matanbuchus-Malware verwendet werden, scheinen zu sein:

  • Geschäftsbezogen – login-biznesplanet.com, biznesplanet-paribabnp.com und andere.
  • Kryptowährungsbezogen – Wallet-secure.biz, Wallet-Secure.xyz und andere.
  • Posieren als Adobe Flash-Updates – player-update.digital, flashupdate.digital und andere.

Bisher wurde nicht beobachtet, dass die Matanbuchus-Malware zusätzliche Malware auf kompromittierten Systemen einsetzt, daher ist nicht klar, was das Endziel der Angreifer ist. Gemessen an dem bösartigen Microsoft Excel, das für die Bereitstellung der Matanbuchus-Malware verwendet wurde, ist es jedoch wahrscheinlich, dass Opfer über Spear-Phishing-E-Mails angesprochen werden.

Sie können sich vor der Matanbuchus-Malware und ähnlichen Cyberbedrohungen schützen, indem Sie eine seriöse Antivirensoftware verwenden und mit den Dateien und Anhängen, mit denen Sie interagieren, vorsichtiger umgehen.

June 19, 2021