Matanbuchus Malware-as-a-Service Μισθωμένο σε φόρουμ εισβολής

Το κακόβουλο λογισμικό Matanbuchus είναι ένα πρόσφατα αναγνωρισμένο κομμάτι κακόβουλου λογισμικού Loader. Συνήθως, απειλές αυτού του τύπου δεν αποτελούν τον πυρήνα των επιθέσεων χάκερ και, αντίθετα, χρησιμοποιούνται για την παράδοση μεταγενέστερων ωφέλιμων φορτίων, καθώς και για την εκμετάλλευση αδυναμιών στην ασφάλεια του συστήματος. Εν ολίγοις, το Matanbuchus Malware έχει σχεδιαστεί για να παρακάμψει την ασφάλεια, να αποφύγει τον εντοπισμό και να αναπτύξει επιπλέον κακόβουλο λογισμικό σε μολυσμένες συσκευές. Το κακόβουλο λογισμικό ανακαλύφθηκε για πρώτη φορά μέσω διαφημίσεων που δημοσίευσε ο συγγραφέας του, BelialDemon, σε φόρουμ hacking. Ο εγκληματίας ζητά μια τιμή ενοικίασης 2.500 $ και πρόσφεραν περιορισμένα σημεία σε νέους αγοραστές - πιθανώς μια προσπάθεια να διατηρηθεί το ωφέλιμο φορτίο κάτω από το ραντάρ ή να το κάνει να φαίνεται ακόμη πιο αποκλειστικό.

Σύμφωνα με τον δημιουργό του Matanbuchus Malware, το Loader μπορεί να φορτώσει ωφέλιμα φορτία στη μνήμη του συστήματος μέσω ενός αρχείου DLL ή EXE. Μπορεί επίσης να κάνει κατάχρηση του Windows Task Scheduler για να παραχωρήσει την επιμονή του ωφέλιμου φορτίου. Επιπλέον, το Matanbuchus Malware μπορεί να εκτελέσει εντολές PowerShell, οι οποίες ανοίγουν ένα εντελώς νέο σύνολο ευκαιριών για τους κακόβουλους χειριστές του εμφυτεύματος.

Το περίεργο πράγμα για τον συγγραφέα της απειλής είναι ότι δεν είναι το πρώτο τους ροντέο όταν πρόκειται για τους Trojan Loaders. Στο παρελθόν, έχουν δημοσιεύσει διαφημίσεις για έναν άλλο προσαρμοσμένο φορτωτή που ονομάζεται TriumphLoader. Ωστόσο, το νέο Matanbuchus Malware φαίνεται να είναι πολύ πιο προηγμένο σε σύγκριση με τον προκάτοχό του.

Δυστυχώς, η λειτουργία Matanbuchus malware-as-a-service (MaaS) φαίνεται να είναι ήδη ενεργή και ο εγκληματίας έχει βρει πελάτες / συνεργούς. Τα ωφέλιμα φορτία εντοπίστηκαν σε έγγραφα Microsoft Excel με μακροεντολή και η μαζική υποδομή δικτύου πίσω από τη λειτουργία είναι ήδη ενεργή. Οι ειδικοί της κυβερνοασφάλειας μπόρεσαν να αποκαλύψουν ένα ευρύ φάσμα ονομάτων τομέα, τα οποία χρησιμοποιούν γενικές «ασφαλείς» λέξεις στα ονόματά τους - μια βασική προσπάθεια να αφήσουν το θύμα υπό την εντύπωση ότι επισκέπτονται έναν έγκυρο τομέα. Μερικοί από τους ψεύτικους τομείς που χρησιμοποιούνται από το Matanbuchus Malware φαίνεται να είναι:

  • Σχετικές με επιχειρήσεις - login-biznesplanet.com, biznesplanet-paribabnp.com και άλλα.
  • Σχετικά με κρυπτονομίσματα - wallet-secure.biz, wallet-secure.xyz και άλλα.
  • Θέτοντας ως ενημερώσεις Adobe Flash - player-update.digital, flashupdate.digital και άλλα.

Μέχρι στιγμής, το Matanbuchus Malware δεν έχει παρατηρηθεί ότι αναπτύσσει πρόσθετο κακόβουλο λογισμικό σε παραβιασμένα συστήματα, οπότε δεν είναι σαφές ποιος είναι ο τελικός στόχος των επιτιθέμενων. Ωστόσο, κρίνοντας από το κακόβουλο Microsoft Excel που χρησιμοποιείται για την παράδοση του κακόβουλου λογισμικού Matanbuchus, είναι πιθανό ότι τα θύματα θα προσεγγιστούν μέσω email spear-phishing.

Μπορείτε να παραμείνετε προστατευμένοι από το κακόβουλο λογισμικό Matanbuchus και παρόμοιες απειλές στον κυβερνοχώρο χρησιμοποιώντας αξιόπιστο λογισμικό προστασίας από ιούς και να είστε πιο προσεκτικοί με τα αρχεία και τα συνημμένα με τα οποία αλληλεπιδράτε.

June 19, 2021