Malware Matanbuchus

Matanbuchus Malware es un cargador amenazante que se ofrece en un esquema de malware como servicio (MaaS) en foros y mercados clandestinos de piratas informáticos. El creador del Matanbuchus es un actor de amenazas que opera bajo el nombre de BelialDemon. Según el argumento de venta, los posibles clientes tendrían que pagar un precio de alquiler inicial de $ 2500 para obtener acceso a la amenaza. El subconjunto de malware conocido como cargadores suele ser amenazas que se lanzan en las primeras etapas de la cadena de ataque y son responsables de buscar y luego ejecutar las cargas útiles de la siguiente etapa en los sistemas comprometidos. En general, Matanbuchus se apega a su función y sus principales capacidades nefastas son: el lanzamiento de archivos .exe y .dll en la memoria, la ejecución de comandos de PowerShell, el uso de schtasks.exe para alterar los programas de tareas y la capacidad de forzar la ejecución de ejecutables independientes. cargar una DLL específica.

Vector de ataque inicial

Los investigadores de seguridad de la información de la Unidad 42 de Palo Alto Networks que descubrieron Matanbuchus también pudieron determinar los medios utilizados por los piratas informáticos para entregar la amenaza. El vector inicial de los ataques es un documento atractivo de Microsoft Excel que contiene macros corruptas. Los actores de amenazas han mostrado una tendencia continua dejando atrás los documentos de Microsoft Word usualmente armados y cambiando a archivos de Excel. La explicación es bastante simple: las características integradas de Excel permiten a los actores de amenazas distribuir su código corrupto a lo largo de las celdas de la hoja de cálculo del documento, logrando un nivel de ofuscación y haciendo que el análisis y la detección sean mucho más difíciles. Cuando el usuario ejecuta el archivo de Excel y habilita sus macros, la codificación comprometida con el archivo buscará un archivo DLL llamado 'ddg.dll' de una ubicación específica (idea-secure-login [.] Com). Luego, el archivo se guardará en el sistema de la víctima como "hcRlCTg.dll". Este es, de hecho, el archivo DLL de Matanbuchus Malware.

Estructura de Matanbuchus Malware

La amenaza del cargador consta de dos archivos DLL: MatanbuchusDroper.dll y Matanbuchus.dll. Como sugiere su nombre, la función principal del primer archivo es entregar el archivo de malware principal. Sin embargo, además, también verifica el entorno nativo en busca de cajas de arena o herramientas de depuración a través de GetCursorPos, IsProcessorFeaturePresent, cpuid, GetSystemTimeAsFileTime y QueryPerformanceCounter. El siguiente paso es descargar la DLL principal de Matanbuchus bajo la apariencia de un archivo XML llamado 'AveBelial.xml'. La amenaza activa un mecanismo de persistencia al generar una tarea programada para ejecutar el archivo DLL recién eliminado.

Matanbuchus intenta combinar sus archivos dentro del sistema nativo utilizando aproximaciones de nombres de archivos típicos del sistema. Por ejemplo, en lugar del shell32 o shell64 legítimo, la amenaza nombra su componente principal shell96. Cabe señalar que Matanbuchus.dll es similar al otro archivo DLL, pero los piratas informáticos han dedicado mucho más tiempo a equiparlo con técnicas adicionales de ofuscación y codificación para enmascarar sus cadenas y código ejecutable.

Los usuarios y las organizaciones deben estar atentos a la amenaza, ya que ya se está aprovechando en campañas de ataque en todo el mundo. Hasta ahora, el Matanbuchus Malware se ha desplegado contra varias organizaciones diferentes, entre las que se encuentran una gran universidad estadounidense y una escuela secundaria, así como una organización de alta tecnología de Bélgica.