Los investigadores de ciberseguridad han afectado una nueva variación de un cargador de malware conocido llamado Matanbuco Eso incluye características significativas para mejorar su sigilo y sortear la detección.
Matanbuchus es el nombre poliedro a una ofrecimiento de malware como servicio (MAAS) que puede desempeñarse como un conducto para las cargas bártulos de la próxima etapa, incluidas las balizas de ataque de cobalto y el ransomware.
Publicados por primera vez en febrero de 2021 en foros de ciberdrome de palabra rusa para un precio de arrendamiento de $ 2,500, el malware se ha utilizado como parte de señuelos similares a ClickFix para engañar a los usuarios que visitan sitios legítimos pero compremiados que no lo ejecutan.
Matanbuchus se destaca entre los cargadores porque generalmente no se extiende a través de correos electrónicos de spam o descargas. En cambio, a menudo se implementa utilizando ingeniería social ejercicio, donde los atacantes engañan directamente a los usuarios. En algunos casos, admite el tipo de camino original utilizado por los corredores que venden entrada a grupos de ransomware. Esto lo hace más dirigido y coordinado que los cargadores de productos típicos.
La última interpretación del cargador, rastreada como Matanbuchus 3.0, incorpora varias características nuevas, incluidas las técnicas de protocolo de comunicación mejoradas, las capacidades en memoria, los métodos de ofuscación mejorados, la CMD y el soporte de carcasa inversa de PowerShell, y la capacidad de ejecutar cargas bártulos de DLL, EXE y Shellcode de la próxima etapa, por morrfisec.
La compañía de seguridad cibernética dijo que observó el malware en un incidente a principios de este mes en el que una compañía no identificada fue dirigida a través de llamadas externas de Microsoft Equips que se sufraron una mesa de ayuda de TI y engañó a los empleados para que lanzaran concurrencia rápida para el camino remoto y luego ejecutar un script de Powershell que desplegó a Matanbuchus.
Vale la pena señalar que las tácticas de ingeniería social similares han sido empleadas por actores de amenaza asociados con la operación de ransomware irritado Pespunte.
“Las víctimas son cuidadosamente atacadas y persuadidas para ejecutar un libreto que desencadena la descarga de un archivo”, dijo Michael Gorelik, CTO de Morphisec. “Este archivo contiene un Updater de Notepad ++ renombrado (GUP), un archivo XML de configuración sutilmente modificado y un DLL cargado de limítrofe sagaz que representa el cargador Matanbuchus”.
Matanbuchus 3.0 ha sido anunciado públicamente por un precio mensual de $ 10,000 para la interpretación HTTPS y $ 15,000 para la interpretación DNS.
Una vez decidido, el malware recopila información del sistema e itera sobre la registro de procesos de ejecución para determinar la presencia de herramientas de seguridad. Además verifica el estado de su proceso para efectuar si se está ejecutando con privilegios administrativos.
Luego envía los detalles recopilados a un servidor de comando y control (C2) para percibir cargas bártulos adicionales en forma de instaladores MSI y ejecutables portátiles. La persistencia en la toma se logra configurando una tarea programada.
“Si adecuadamente suena simple, los desarrolladores de Matanbuchus implementaron técnicas avanzadas para programar una tarea a través del uso de COM e inyección de ShellCode”, explicó Gorelik. “El shellcode en sí es interesante; implementa una resolución API relativamente básica (comparaciones de cadenas simples) y una ejecución sofisticada de COM que manipula el servicio de ITasks”.
El cargador igualmente viene equipado con características que el servidor C2 puede invocar de forma remota para resumir todos los procesos de ejecución, los servicios en ejecución y una registro de aplicaciones instaladas.
“El malware Matanbuchus 3.0 como servicio se ha convertido en una amenaza sofisticada”, dijo Gorelik. “Esta interpretación actualizada introduce técnicas avanzadas, como protocolos de comunicación mejorados, sigilo en memoria, ofuscación mejorada y soporte para consultas WQL, CMD y capas inversas de PowerShell”.
“La capacidad del cargador para ejecutar RegSVR32, RUNDLL32, MSIEXEC o los comandos de hueco de procesos subrayan su versatilidad, por lo que es un aventura significativo para los sistemas comprometidos”.
A medida que evoluciona el malware como servicio, Matanbuchus 3.0 se ajusta a una tendencia más amplia de cargadores sigilosos que dependen de Lolbins (binarios vivos de la tierra), secuestro de objetos de com y pilotos de potencia para permanecer bajo el radar.
Los investigadores de amenazas mapean cada vez más estos cargadores como parte de las estrategias de encargo de la superficie de ataque y los vinculan con el despotismo de herramientas de colaboración empresarial como los equipos de Microsoft y el teleobjetivo.
