Matanbuchusのサービスとしてのマルウェアがハッキングフォーラムで貸し出されました

Matanbuchusマルウェアは、新たに特定されたローダーマルウェアです。通常、このタイプの脅威はハッカー攻撃の中核ではなく、代わりに、後続のペイロードを配信したり、システムのセキュリティの弱点を悪用したりするために使用されます。つまり、Matanbuchus Malwareは、セキュリティをバイパスし、検出を回避し、感染したデバイスに追加のマルウェアを展開するように設計されています。このマルウェアは、その作者であるBelialDemonがハッキングフォーラムで公開した広告を通じて最初に発見されました。犯罪者は2,500ドルの賃貸価格を要求し、彼らは新しい購入者に限られた場所を提供しました–おそらく、ペイロードをレーダーの下に保つか、それをさらに排他的に見せようとする試みです。

Matanbuchus Malwareの作成者によると、ローダーはDLLまたはEXEファイルを介してシステムのメモリにペイロードをロードできます。また、Windowsタスクスケジューラを悪用して、ペイロードの永続性を付与することもできます。さらに、Matanbuchus MalwareはPowerShellコマンドを実行できます。これにより、インプラントの悪意のあるオペレーターにまったく新しい機会が開かれます。

脅威の作者の特徴は、トロイの木馬ローダーに関しては、これが彼らの最初のロデオではないということです。過去に、彼らはTriumphLoaderと呼ばれる別のカスタムビルドローダーの広告を公開しました。ただし、新しいMatanbuchusマルウェアは、以前のマルウェアに比べてはるかに高度であるように見えます。

残念ながら、Matanbuchusのサービスとしてのマルウェア(MaaS)操作はすでにアクティブになっているようで、犯罪者は顧客/共犯者を見つけました。ペイロードはマクロレースのMicrosoftExcelドキュメントで発見され、操作の背後にある大規模なネットワークインフラストラクチャはすでにアクティブになっています。サイバーセキュリティの専門家は、名前に一般的な「安全な」単語を使用するさまざまなドメイン名を発見することができました。これは、被害者が有効なドメインにアクセスしているという印象を与える基本的な試みです。 Matanbuchusマルウェアが使用する偽のドメインのいくつかは次のように見えます。

  • ビジネス関連– login-biznesplanet.com、biznesplanet-paribabnp.comなど。
  • 暗号通貨関連– wallet-secure.biz、wallet-secure.xyzなど。
  • Adobe Flashの更新を装う– player-update.digital、flashupdate.digitalなど。

これまでのところ、Matanbuchus Malwareが侵害されたシステムに追加のマルウェアを展開することは確認されていないため、攻撃者の最終目標が何であるかは明確ではありません。ただし、Matanbuchusマルウェアの配信に使用された悪意のあるMicrosoft Excelから判断すると、被害者はスピアフィッシングメールで連絡を受ける可能性があります。

信頼できるウイルス対策ソフトウェアを使用し、やり取りするファイルや添付ファイルにさらに注意を払うことで、Matanbuchusマルウェアや同様のサイバー脅威からの保護を維持できます。

June 19, 2021