Matanbuchus Malware-as-a-Service alquilado en foros de piratería

Matanbuchus Malware es una pieza de malware Loader recientemente identificada. Por lo general, las amenazas de este tipo no son el núcleo de los ataques de piratas informáticos y, en cambio, se utilizan para entregar cargas útiles posteriores, así como para aprovechar las debilidades en la seguridad del sistema. En resumen, Matanbuchus Malware está diseñado para eludir la seguridad, evitar la detección e implementar malware adicional en los dispositivos infectados. El malware se descubrió por primera vez a través de anuncios publicados por su autor, BelialDemon, en foros de piratería. El delincuente pide un precio de alquiler de $ 2,500 y ofrecieron lugares limitados a nuevos compradores, probablemente un intento de mantener la carga útil bajo el radar o hacer que parezca aún más exclusivo.

Según el creador de Matanbuchus Malware, Loader puede cargar cargas útiles en la memoria del sistema a través de un archivo DLL o EXE. También puede abusar del Programador de tareas de Windows para conceder la persistencia de la carga útil. Además, Matanbuchus Malware puede ejecutar comandos de PowerShell, lo que abre un nuevo conjunto de oportunidades para los malévolos operadores del implante.

Lo peculiar del autor de la amenaza es que este no es su primer rodeo cuando se trata de cargadores de troyanos. En el pasado, han publicado anuncios de otro cargador personalizado llamado TriumphLoader. Sin embargo, el nuevo Matanbuchus Malware parece ser mucho más avanzado en comparación con su predecesor.

Desafortunadamente, la operación Matanbuchus malware-as-a-service (MaaS) parece estar activa y el criminal ha encontrado clientes / cómplices. Se descubrieron cargas útiles en documentos de Microsoft Excel con macros entrelazados y la enorme infraestructura de red detrás de la operación ya está activa. Los expertos en ciberseguridad pudieron descubrir una amplia gama de nombres de dominio, que utilizan palabras genéricas 'seguras' en sus nombres, un intento básico de dejar a la víctima con la impresión de que está visitando un dominio válido. Algunos de los dominios falsos utilizados por Matanbuchus Malware parecen ser:

  • Relacionados con negocios: login-biznesplanet.com, biznesplanet-paribabnp.com y otros.
  • Relacionados con criptomonedas: wallet-secure.biz, wallet-secure.xyz y otros.
  • Haciéndose pasar por actualizaciones de Adobe Flash: player-update.digital, flashupdate.digital y otros.

Hasta ahora, no se ha observado que Matanbuchus Malware implemente malware adicional en sistemas comprometidos, por lo que no está claro cuál es el objetivo final de los atacantes. Sin embargo, a juzgar por el Microsoft Excel malintencionado utilizado para entregar el Malware Matanbuchus, es probable que las víctimas sean contactadas a través de correos electrónicos de spear-phishing.

Puede mantenerse protegido contra Matanbuchus Malware y amenazas cibernéticas similares utilizando un software antivirus de buena reputación y siendo más cuidadoso con los archivos y adjuntos con los que interactúa.

June 19, 2021