Matanbuchus Malware-as-a-Service verhuurd op hackforums

De Matanbuchus-malware is een nieuw geïdentificeerd onderdeel van Loader-malware. Dit soort bedreigingen vormen doorgaans niet de kern van aanvallen van hackers en worden in plaats daarvan gebruikt om volgende payloads te leveren en om zwakke punten in de systeembeveiliging uit te buiten. Kortom, de Matanbuchus-malware is ontworpen om de beveiliging te omzeilen, detectie te voorkomen en extra malware op geïnfecteerde apparaten te implementeren. De malware werd voor het eerst ontdekt via advertenties die werden gepubliceerd door de auteur, BelialDemon, op hackforums. De crimineel vraagt een huurprijs van $ 2.500, en ze boden beperkte plaatsen aan nieuwe kopers aan - waarschijnlijk een poging om de lading onder de radar te houden of om het nog exclusiever te laten lijken.

Volgens de maker van Matanbuchus Malware is de Loader in staat om payloads in het systeemgeheugen te laden via een DLL- of EXE-bestand. Het kan ook misbruik maken van de Windows Taakplanner om de payload persistentie te verlenen. Bovendien kan de Matanbuchus Malware PowerShell-commando's uitvoeren, wat een hele reeks nieuwe mogelijkheden opent voor de kwaadwillende operators van het implantaat.

Het eigenaardige aan de auteur van de dreiging is dat dit niet hun eerste rodeo is als het gaat om Trojan Loaders. In het verleden hebben ze advertenties gepubliceerd voor een andere op maat gemaakte lader genaamd TriumphLoader. De nieuwe Matanbuchus Malware lijkt echter veel geavanceerder te zijn in vergelijking met zijn voorganger.

Helaas lijkt de Matanbuchus malware-as-a-service (MaaS) operatie al actief te zijn en heeft de crimineel klanten/medeplichtigen gevonden. Payloads werden ontdekt in macro-geregen Microsoft Excel-documenten en de enorme netwerkinfrastructuur achter de operatie is al actief. Cybersecurity-experts konden een breed scala aan domeinnamen ontdekken, die generieke 'veilige' woorden in hun naam gebruiken - een eenvoudige poging om het slachtoffer de indruk te geven dat ze een geldig domein bezoeken. Sommige van de nepdomeinen die door de Matanbuchus-malware worden gebruikt, lijken te zijn:

  • Zakelijk - login-bizneplanet.com, bizneplanet-paribabnp.com en anderen.
  • Cryptocurrency-gerelateerd - wallet-secure.biz, wallet-secure.xyz en anderen.
  • Poseren als Adobe Flash-updates - player-update.digital, flashupdate.digital en anderen.

Tot nu toe is niet waargenomen dat de Matanbuchus-malware extra malware op gecompromitteerde systemen implementeert, dus het is niet duidelijk wat het einddoel van de aanvallers is. Afgaande op de kwaadaardige Microsoft Excel die wordt gebruikt om de Matanbuchus-malware af te leveren, is het echter waarschijnlijk dat slachtoffers worden benaderd via spear-phishing-e-mails.

U kunt beschermd blijven tegen de Matanbuchus-malware en soortgelijke cyberbedreigingen door gerenommeerde antivirussoftware te gebruiken en voorzichtiger te zijn met de bestanden en bijlagen waarmee u communiceert.

June 19, 2021