Matanbuchus Malware
O Malware Matanbuchus é um loader ameaçador que está sendo oferecido em um esquema de malware-como-um-serviço (MaaS) em fóruns e mercados de hackers clandestinos. O criador do Matanbuchus é um ator de ameaça operando sob o nome de BelialDemon. De acordo com o argumento de venda, os clientes em potencial teriam que pagar um preço inicial de aluguel de US $2.500 para obter acesso à ameaça. O subconjunto de malware conhecido como carregadores são normalmente ameaças descartadas nos estágios iniciais da cadeia de ataque e são responsáveis por buscar e executar cargas úteis de estágio seguinte nos sistemas comprometidos. Em geral, o Matanbuchus mantém seu papel com seus principais recursos nefastos - lançamento de arquivos .exe e .dll na memória, execução de comandos do PowerShell, uso de schtasks.exe para adulterar agendas de tarefas e a capacidade de forçar executáveis autônomos a carregue uma DLL específica.
Vetor de Ataque Inicial
Os pesquisadores de Infosec na Unidade 42 da Palo Alto Networks, que descobriram o Matanbuchus, também foram capazes de determinar os meios usados pelos hackers para entregar a ameaça. O vetor inicial para os ataques é um documento do Microsoft Excel que contém macros corrompidas. Os agentes de ameaças têm mostrado uma tendência contínua, deixando para trás os habituais documentos do Microsoft Word como arma e mudando para arquivos do Excel. A explicação é bastante simples - as características integradas do Excel permitem que os agentes da ameaça distribuam seu código corrompido pelas células da planilha do documento, alcançando um nível de ofuscação e tornando a análise e detecção muito mais difícil. Quando o usuário executa o arquivo Excel e habilita suas macros, a codificação comprometida com o arquivo irá buscar um arquivo DLL chamado 'ddg.dll' de um local específico (idea-secure-login [.] Com). O arquivo será salvo no sistema da vítima como 'hcRlCTg.dll'. Este é, na verdade, o arquivo DLL do Malware Matanbuchus.
A Estrutura do Malware Matanbuchus
A ameaça do loader consiste em dois arquivos DLL - MatanbuchusDroper.dll e Matanbuchus.dll. Como o nome sugere, a função principal do primeiro arquivo é entregar o arquivo principal do malware. No entanto, além disso, ele também verifica o ambiente nativo para sand-boxes ou ferramentas de depuração por meio de GetCursorPos, IsProcessorFeaturePresent, cpuid, GetSystemTimeAsFileTime e QueryPerformanceCounter. A próxima etapa é baixar a DLL Matanbuchus principal sob o disfarce de um arquivo XML chamado 'AveBelial.xml.' A ameaça ativa um mecanismo de persistência, gerando uma tarefa agendada para executar o arquivo DLL recém-eliminado.
O Matanbuchus tenta misturar seus arquivos dentro do sistema nativo usando aproximações de nomes de arquivos de sistema típicos. Por exemplo, em vez de shell32 ou shell64 legítimo, a ameaça nomeia seu componente principal como shell96. Deve-se notar que o Matanbuchus.dll é semelhante ao outro arquivo DLL, mas os hackers gastaram muito mais tempo equipando-o com técnicas adicionais de ofuscação e codificação para mascarar suas strings e código executável.
Os usuários e as organizações devem ficar atentos à ameaça, pois ela já está sendo aproveitada em campanhas de ataque em todo o mundo. Até agora, o Malware Matanbuchus foi implantado contra várias organizações diferentes, com uma grande universidade dos EUA e uma escola de ensino médio, bem como uma organização de alta tecnologia da Bélgica entre as vítimas.
