Matanbuchus Malware

Il Matanbuchus Malware è un minaccioso caricatore che viene offerto in uno schema malware-as-a-service (MaaS) su forum e mercati di hacker sotterranei. Il creatore del Matanbuchus è un attore di minacce che opera sotto il nome di BelialDemon. Secondo il piano di vendita, i potenziali clienti dovrebbero pagare un prezzo di affitto iniziale di $ 2500 per ottenere l'accesso alla minaccia. Il sottoinsieme di malware noto come loader sono in genere minacce eliminate nelle prime fasi della catena di attacco e sono responsabili del recupero e dell'esecuzione dei payload della fase successiva sui sistemi compromessi. In generale, Matanbuchus mantiene il suo ruolo con le sue principali capacità nefaste: l'avvio di file .exe e .dll in memoria, l'esecuzione di comandi PowerShell, l'utilizzo di schtasks.exe per manomettere le pianificazioni delle attività e la capacità di forzare gli eseguibili autonomi a caricare una DLL specifica.

Vettore di attacco iniziale

I ricercatori di infosec dell'Unità 42 di Palo Alto Networks che hanno scoperto Matanbuchus sono stati anche in grado di determinare i mezzi utilizzati dagli hacker per consegnare la minaccia. Il vettore iniziale per gli attacchi è un documento di Microsoft Excel che contiene macro danneggiate. Gli attori delle minacce hanno mostrato una tendenza continua lasciandosi alle spalle i soliti documenti Microsoft Word armati e passando ai file Excel. La spiegazione è abbastanza semplice: le caratteristiche integrate di Excel consentono agli autori delle minacce di distribuire il loro codice corrotto nelle celle del foglio di calcolo del documento, raggiungendo un livello di offuscamento e rendendo l'analisi e il rilevamento molto più difficili. Quando l'utente esegue il file Excel e abilita le sue macro, la codifica compromessa con il file recupererà un file DLL denominato "ddg.dll" da una posizione specifica (idea-secure-login[.]com). Il file verrà quindi salvato sul sistema della vittima come 'hcRlCTg.dll.' Questo è, infatti, il file DLL del malware Matanbuchus.

Struttura del malware Matanbuchusware

La minaccia del caricatore è costituita da due file DLL: MatanbuchusDroper.dll e Matanbuchus.dll. Come suggerisce il nome, la funzione principale del primo file è fornire il file malware principale. Tuttavia, controlla anche l'ambiente nativo per sandbox o strumenti di debug tramite GetCursorPos, IsProcessorFeaturePresent, cpuid, GetSystemTimeAsFileTime e QueryPerformanceCounter. Il prossimo passo è scaricare la DLL Matanbuchus primaria sotto forma di un file XML chiamato 'AveBelial.xml.' La minaccia attiva un meccanismo di persistenza generando un'attività pianificata per eseguire il file DLL appena eliminato.

Matanbuchus tenta di fondere i suoi file all'interno del sistema nativo utilizzando approssimazioni di nomi di file di sistema tipici. Ad esempio, invece della legittima shell32 o shell64, la minaccia nomina il suo componente principale shell96. Va notato che Matanbuchus.dll è simile all'altro file DLL, ma gli hacker hanno impiegato molto più tempo per dotarlo di ulteriori tecniche di offuscamento e codifica per mascherare le stringhe e il codice eseguibile.

Gli utenti e le organizzazioni dovrebbero tenere d'occhio la minaccia poiché viene già sfruttata nelle campagne di attacco in tutto il mondo. Finora, il malware Matanbuchus è stato schierato contro diverse organizzazioni tra cui una grande università statunitense e un liceo, nonché un'organizzazione high tech belga tra le vittime.