Matanbuchus मैलवेयर

Matanbuchus Malware एक खतरनाक लोडर है जिसे अंडरग्राउंड हैकर फ़ोरम और मार्केटप्लेस पर एक मालवेयर-ए-ए-सर्विस स्कीम (MaaS) में पेश किया जा रहा है। Matanbuchus का निर्माता BelialDemon नाम से काम करने वाला एक खतरा अभिनेता है। बिक्री पिच के अनुसार, संभावित ग्राहकों को खतरे तक पहुंच प्राप्त करने के लिए $ 2500 की प्रारंभिक किराये की कीमत का भुगतान करना होगा। लोडर के रूप में जाना जाने वाला मैलवेयर सबसेट आमतौर पर हमले की श्रृंखला के शुरुआती चरणों में गिराए गए खतरे होते हैं, और समझौता किए गए सिस्टम पर अगले चरण के पेलोड को लाने और फिर निष्पादित करने के लिए जिम्मेदार होते हैं। सामान्य तौर पर, Matanbuchus अपनी मुख्य नापाक क्षमताओं के साथ अपनी भूमिका पर कायम रहता है - मेमोरी में .exe और .dll फ़ाइलों को लॉन्च करना, PowerShell कमांड निष्पादित करना, कार्य शेड्यूल के साथ छेड़छाड़ करने के लिए schtasks.exe का उपयोग करना, और स्टैंड-अलोन निष्पादन योग्य को मजबूर करने की क्षमता एक विशिष्ट डीएलएल लोड करें।

प्रारंभिक हमला वेक्टर

पालो ऑल्टो नेटवर्क्स यूनिट 42 के इन्फोसेक शोधकर्ता जिन्होंने मटनबुचस की खोज की थी, वे हैकर्स द्वारा खतरे को दूर करने के लिए उपयोग किए जाने वाले साधनों को निर्धारित करने में सक्षम थे। हमलों के लिए प्रारंभिक वेक्टर एक लालची Microsoft Excel दस्तावेज़ है जो दूषित मैक्रोज़ को वहन करता है। थ्रेट एक्टर्स ने सामान्य हथियार वाले माइक्रोसॉफ्ट वर्ड दस्तावेजों को पीछे छोड़ते हुए और एक्सेल फाइलों पर स्विच करने के लिए एक निरंतर प्रवृत्ति दिखाई है। स्पष्टीकरण काफी सरल है - एक्सेल की अंतर्निहित विशेषताएं खतरे के अभिनेताओं को दस्तावेज़ के स्प्रेडशीट सेल में अपने दूषित कोड को वितरित करने की अनुमति देती हैं, जिससे अस्पष्टता का स्तर प्राप्त होता है और विश्लेषण और पता लगाना बहुत कठिन हो जाता है। जब उपयोगकर्ता एक्सेल फ़ाइल को निष्पादित करता है और इसके मैक्रोज़ को सक्षम करता है, तो फ़ाइल के साथ समझौता की गई कोडिंग एक विशिष्ट स्थान (idea-secure-login[.]com) से 'ddg.dll' नाम की एक DLL फ़ाइल प्राप्त करेगी। फ़ाइल तब पीड़ित के सिस्टम पर 'hcRlCTg.dll' के रूप में सहेजी जाएगी। यह वास्तव में, Matanbuchus Malware की DLL फ़ाइल है।

Matanbuchus मैलवेयर की संरचना

लोडर खतरे में दो डीएलएल फाइलें होती हैं - MatanbuchusDroper.dll और Matanbuchus.dll। जैसा कि इसके नाम से पता चलता है, पहली फ़ाइल का प्राथमिक कार्य मुख्य मैलवेयर फ़ाइल को वितरित करना है। हालांकि, इसके अलावा, यह GetCursorPos, IsProcessorFeaturePresent, cpuid, GetSystemTimeAsFileTime और QueryPerformanceCounter के माध्यम से सैंडबॉक्स या डिबगिंग टूल के लिए मूल वातावरण की भी जाँच करता है। अगला कदम 'AveBelial.xml' नामक XML फ़ाइल की आड़ में प्राथमिक Matanbuchus DLL को डाउनलोड करना है। नई गिराई गई डीएलएल फ़ाइल को चलाने के लिए एक निर्धारित कार्य उत्पन्न करके खतरा एक दृढ़ता तंत्र को सक्रिय करता है।

Matanbuchus विशिष्ट सिस्टम फ़ाइल नामों के सन्निकटन का उपयोग करके अपनी फ़ाइलों को मूल सिस्टम के भीतर मिश्रित करने का प्रयास करता है। उदाहरण के लिए, वैध शेल 32 या शेल 64 के बजाय, खतरा इसके मुख्य घटक शेल 96 को नाम देता है। यह ध्यान दिया जाना चाहिए कि Matanbuchus.dll अन्य DLL फ़ाइल के समान है, लेकिन हैकर्स ने इसके स्ट्रिंग्स और निष्पादन योग्य कोड को छिपाने के लिए इसे अतिरिक्त अस्पष्टता और एन्कोडिंग तकनीकों से लैस करने में बहुत अधिक समय बिताया है।

उपयोगकर्ताओं और संगठनों को खतरे पर नजर रखनी चाहिए क्योंकि दुनिया भर में हमले के अभियानों में इसका लाभ उठाया जा रहा है। अब तक, Matanbuchus Malware को कई अलग-अलग संगठनों के खिलाफ तैनात किया गया है जिसमें एक बड़े अमेरिकी विश्वविद्यालय और एक हाई स्कूल के साथ-साथ बेल्जियम का एक उच्च तकनीक संगठन पीड़ितों में शामिल है।