Matanbuchus Malware
Matanbuchus Malware - это опасный загрузчик, который предлагается в рамках схемы «вредоносное ПО как услуга» (MaaS) на подпольных хакерских форумах и торговых площадках. Создатель Matanbuchus - злоумышленник, действующий под именем BelialDemon. Согласно коммерческому предложению, потенциальные клиенты должны будут заплатить начальную арендную плату в размере 2500 долларов, чтобы получить доступ к угрозе. Подмножество вредоносных программ, известное как загрузчики, обычно представляют собой угрозы, отбрасываемые на ранних этапах цепочки атаки, и отвечают за получение и последующее выполнение полезных нагрузок следующего этапа в скомпрометированных системах. В целом, Matanbuchus придерживается своей роли с его основными гнусными возможностями: запуск файлов .exe и .dll в памяти, выполнение команд PowerShell, использование schtasks.exe для изменения расписания задач и возможность принудительного запуска автономных исполняемых файлов. загрузить конкретную DLL.
Начальный вектор атаки
Исследователи информационной безопасности из подразделения 42 Palo Alto Networks, обнаружившие Матанбухуса, также смогли определить средства, используемые хакерами для доставки угрозы. Первоначальным вектором атак является документ Microsoft Excel, содержащий поврежденные макросы. Злоумышленники продемонстрировали продолжающуюся тенденцию к отказу от обычных вооруженных документов Microsoft Word и переходу на файлы Excel. Объяснение довольно простое - встроенные характеристики Excel позволяют злоумышленникам распространять свой поврежденный код по ячейкам электронной таблицы документа, достигая уровня обфускации и значительно усложняя анализ и обнаружение. Когда пользователь запускает файл Excel и включает его макросы, скомпрометированная кодировка с файлом извлекает файл DLL с именем 'ddg.dll' из определенного места (idea-secure-login [.] Com). Затем файл будет сохранен в системе жертвы как «hcRlCTg.dll». Фактически, это DLL-файл вредоносной программы Matanbuchus.
Структура вредоносного ПО Matanbuchus
Угроза загрузчика состоит из двух DLL-файлов - MatanbuchusDroper.dll и Matanbuchus.dll. Как следует из названия, основная функция первого файла заключается в доставке основного файла вредоносной программы. Однако, кроме того, он также проверяет собственную среду на наличие песочниц или инструментов отладки с помощью GetCursorPos, IsProcessorFeaturePresent, cpuid, GetSystemTimeAsFileTime и QueryPerformanceCounter. Следующим шагом является загрузка основной библиотеки DLL Matanbuchus под видом XML-файла с именем AveBelial.xml. Угроза активирует механизм сохранения, создавая запланированное задание для запуска только что удаленного файла DLL.
Matanbuchus пытается смешать свои файлы с родной системой, используя приближения к типичным системным именам файлов. Например, вместо легитимного shell32 или shell64 угроза называет свой основной компонент shell96. Следует отметить, что Matanbuchus.dll похож на другой файл DLL, но хакеры потратили гораздо больше времени на оснащение его дополнительными методами запутывания и кодирования, чтобы замаскировать его строки и исполняемый код.
Пользователи и организации должны следить за угрозой, поскольку она уже используется в кампаниях атак по всему миру. На данный момент вредоносное ПО Matanbuchus было использовано против нескольких различных организаций, жертвами которых были крупный американский университет и средняя школа, а также высокотехнологичная организация из Бельгии.
