Matanbuchus Malware-as-a-Service wynajmowane na forach hakerskich

Matanbuchus Malware jest nowo zidentyfikowanym złośliwym oprogramowaniem Loader. Zazwyczaj zagrożenia tego typu nie stanowią rdzenia ataków hakerskich, a zamiast tego są wykorzystywane do dostarczania kolejnych ładunków, a także do wykorzystywania słabych punktów w zabezpieczeniach systemu. Krótko mówiąc, Matanbuchus Malware ma na celu omijanie zabezpieczeń, unikanie wykrycia i wdrażanie dodatkowego złośliwego oprogramowania na zainfekowane urządzenia. Złośliwe oprogramowanie zostało po raz pierwszy wykryte dzięki reklamom opublikowanym przez jego autora, BelialDemon, na forach hakerskich. Przestępca prosi o cenę wynajmu w wysokości 2500 dolarów, a nowym nabywcom oferował ograniczone miejsca – prawdopodobnie próbując utrzymać ładunek pod radarem lub uczynić go jeszcze bardziej ekskluzywnym.

Według twórcy Matanbuchus Malware, Loader jest w stanie ładować ładunki w pamięci systemu za pomocą pliku DLL lub EXE. Może również nadużywać Harmonogramu zadań systemu Windows, aby zapewnić trwałość ładunku. Co więcej, Matanbuchus Malware może wykonywać polecenia PowerShell, które otwierają zupełnie nowe możliwości dla wrogich operatorów implantu.

Osobliwością autora zagrożenia jest to, że nie jest to ich pierwsze rodeo, jeśli chodzi o trojany ładujące. W przeszłości publikowali reklamy innego niestandardowego modułu ładującego o nazwie TriumphLoader. Jednak nowy Matanbuchus Malware wydaje się być znacznie bardziej zaawansowany w porównaniu do swojego poprzednika.

Niestety, operacja Matanbuchus malware-as-a-service (MaaS) wydaje się być już aktywna, a przestępca znalazł klientów/wspólników. Ładunki zostały odkryte w dokumentach Microsoft Excel splecionych z makrami, a potężna infrastruktura sieciowa stojąca za operacją jest już aktywna. Eksperci ds. cyberbezpieczeństwa zdołali odkryć szeroką gamę nazw domen, w których w nazwach używane są ogólne „bezpieczne” słowa – podstawowa próba, aby ofiara miała wrażenie, że odwiedza prawidłową domenę. Niektóre z fałszywych domen wykorzystywanych przez Malware Matanbuchus wydają się być:

• Związane z biznesem – login-biznesplanet.com, biznesplanet-paribannp.com i inne.
• Związane z kryptowalutami – wallet-secure.biz, wallet-secure.xyz i inne.
• Udając aktualizacje Adobe Flash – player-update.digital, flashupdate.digital i inne.

Jak dotąd nie zaobserwowano, aby Matanbuchus Malware instalowało dodatkowe złośliwe oprogramowanie na zaatakowanych systemach, więc nie jest jasne, jaki jest ostateczny cel atakujących. Jednak sądząc po złośliwym programie Microsoft Excel używanym do dostarczania złośliwego oprogramowania Matanbuchus, prawdopodobne jest, że ofiary będą atakowane za pomocą wiadomości e-mail typu spear-phishing.

Możesz zachować ochronę przed Matanbuchus Malware i podobnymi zagrożeniami cybernetycznymi, korzystając z renomowanego oprogramowania antywirusowego i bardziej ostrożnego z plikami i załącznikami, z którymi wchodzisz w interakcję.