A Matanbuchus Malware-as-a-Service kiadó volt a hacker fórumokon

A Matanbuchus Malware egy újonnan azonosított Loader malware. Az ilyen típusú fenyegetések általában nem a hackertámadások magját jelentik, hanem a későbbi hasznos terhelések szállítására, valamint a rendszer biztonságának gyengeségeinek kiaknázására használják őket. Röviden: a Matanbuchus malware célja a biztonság megkerülése, az észlelés elkerülése és további rosszindulatú programok telepítése a fertőzött eszközökre. A rosszindulatú programot először a szerzője, a BelialDemon által hackerfórumokon közzétett hirdetések révén fedezték fel. A bűnöző 2500 dolláros bérleti díjat kér, és korlátozott helyeket kínáltak az új vásárlóknak - valószínűleg kísérletet tettek arra, hogy a hasznos tehert a radar alatt tartsák, vagy még inkább exkluzívnak tűnjenek.

A Matanbuchus Malware alkotója szerint a Loader DLL vagy EXE fájl segítségével képes betölteni a rendszer memóriájába a hasznos terheléseket. Visszaélhet a Windows Feladatütemezővel is a hasznos terhelés tartósságának biztosítása érdekében. Ezenkívül a Matanbuchus Malware képes végrehajtani a PowerShell parancsokat, amelyek teljesen új lehetőségeket nyitnak meg az implantátum rosszindulatú operátorai számára.

A fenyegetés szerzőjének különlegessége, hogy nem ez az első rodeójuk a trójai rakodókról. Korábban egy másik, egyedi tervezésű rakodógép, TriumphLoader nevű hirdetését tették közzé. Úgy tűnik azonban, hogy az új Matanbuchus Malware elődjéhez képest sokkal fejlettebb.

Sajnos a Matanbuchus malware-as-a-service (MaaS) művelet már aktívnak tűnik, és a bűnöző ügyfeleket / cinkosokat talált. Hasznos tehereket fedeztek fel a makróval fűzött Microsoft Excel dokumentumokban, és a művelet mögött álló hatalmas hálózati infrastruktúra már aktív. A kiberbiztonsági szakértők sokféle domain nevet fedezhettek fel, amelyek általános „biztonságos” szavakat használnak a nevükben - ez egy alapvető kísérlet arra, hogy az áldozat azt a benyomást keltse, hogy érvényes domaint látogat. Úgy tűnik, hogy a Matanbuchus Malware által használt hamis domainek a következők:

  • Vállalkozással kapcsolatos - login-biznesplanet.com, biznesplanet-paribabnp.com és mások.
  • Kriptovalutával kapcsolatos - pénztárca-biztonság.biz, pénztárca-biztonság.xyz és mások.
  • Pózolás Adobe Flash frissítésekként - player-update.digital, flashupdate.digital és mások.

Eddig nem figyelték meg a Matanbuchus Malware-t, hogy további rosszindulatú programokat telepítsen a veszélyeztetett rendszerekre, így nem világos, mi a támadók végcélja. A Matanbuchus Malware szállításához használt rosszindulatú Microsoft Excelből ítélve azonban valószínű, hogy az áldozatokat dárdahalász e-maileken keresztül fogják megkeresni.

Megóvhatja a Matanbuchus Malware programot és hasonló kiberfenyegetéseket azáltal, hogy jó hírű víruskereső szoftvert használ, és körültekintőbb a fájlokkal és a csatolt fájlokkal.

June 19, 2021