Matanbuchus 恶意软件即服务出租于黑客论坛

Matanbuchus 恶意软件是一种新发现的 Loader 恶意软件。通常,这种类型的威胁不是黑客攻击的核心,而是用于传递后续有效载荷,以及利用系统安全中的弱点。简而言之,Matanbuchus 恶意软件旨在绕过安全性、避免检测并将其他恶意软件部署到受感染设备。该恶意软件最初是通过其作者 BelialDemon 在黑客论坛上发布的广告发现的。犯罪分子要价 2,500 美元,他们为新买家提供了有限的位置——可能是为了让有效载荷不受关注,或者让它看起来更加独特。

根据 Matanbuchus 恶意软件的创建者的说法,Loader 能够通过 DLL 或 EXE 文件将负载加载到系统内存中。它还可以滥用 Windows 任务计划程序来授予有效负载持久性。此外,Matanbuchus 恶意软件可以执行 PowerShell 命令,这为植入物的恶意操作员打开了一系列全新的机会。

该威胁的作者的特殊之处在于,这不是他们第一次参与特洛伊木马加载程序。过去,他们发布了另一个名为 TriumphLoader 的定制加载器的广告。然而,新的 Matanbuchus 恶意软件与其前身相比似乎要先进得多。

不幸的是,Matanbuchus 恶意软件即服务 (MaaS) 操作似乎已经处于活跃状态,犯罪分子已经找到了客户/同谋。在带有宏的 Microsoft Excel 文档中发现了有效负载,并且该操作背后的庞大网络基础设施已经处于活动状态。网络安全专家能够发现范围广泛的域名,这些域名在其名称中使用了通用的“安全”字样——这是一种基本的尝试,让受害者误以为他们正在访问一个有效的域。 Matanbuchus 恶意软件使用的一些假域名似乎是:

  • 业务相关 – login-biznesplanet.com、biznesplanet-paribabnp.com 等。
  • 与加密货币相关的 – wallet-secure.biz、wallet-secure.xyz 等。
  • 冒充 Adobe Flash 更新 – player-update.digital、flashupdate.digital 等。

到目前为止,尚未观察到 Matanbuchus 恶意软件在受感染的系统上部署其他恶意软件,因此尚不清楚攻击者的最终目标是什么。但是,从用于传送 Matanbuchus 恶意软件的恶意 Microsoft Excel 来看,受害者很可能会通过鱼叉式网络钓鱼电子邮件接近。

您可以使用信誉良好的防病毒软件并更加小心地处理与之交互的文件和附件,从而免受 Matanbuchus 恶意软件和类似网络威胁的侵害。

June 19, 2021