Un malware como servicio (Maas) denominado Matanbuchus se ha observado que se propaga a través de campañas de phishing y, en última instancia, deja caer el marco de trabajo posterior a la explotación de Cobalt Strike en las máquinas comprometidas.
Matanbuchus, como otros cargadores de malware como BazarLoader, Bumblebee y Colibri, está diseñado para descargar y ejecutar ejecutables de segunda etapa desde servidores de comando y control (C&C) en sistemas infectados sin detección.
Disponible en foros de ciberdelincuencia de habla rusa por un precio de $ 2500 desde febrero de 2021, el malware está equipado con capacidades para iniciar archivos .EXE y .DLL en la memoria y ejecutar comandos arbitrarios de PowerShell.
Los hallazgos, publicados por la firma de inteligencia de amenazas Cyble la semana pasada, documentan la última cadena de infección asociada con el cargador, que está vinculado a un actor de amenazas que se hace llamar en línea BelialDemon.
«Si miramos históricamente, BelialDemon ha estado involucrado en el desarrollo de cargadores de malware», los investigadores de la Unidad 42, Jeff White y Kyle Wilhoit. señalado en un informe de junio de 2021. «BelialDemon es considerado el principal desarrollador de TriumphCargadorun cargador publicado anteriormente en varios foros, y tiene experiencia en la venta de este tipo de malware».
Los correos electrónicos no deseados que distribuyen Matanbuchus vienen con un archivo ZIP adjunto que contiene un archivo HTML que, al abrirse, descodifica el contenido Base64 incrustado en el archivo y coloca otro archivo ZIP en el sistema.
El archivo de almacenamiento, a su vez, incluye un archivo de instalación MSI que muestra un mensaje de error falso al momento de la ejecución mientras implementa sigilosamente un archivo DLL («main.dll») y descarga la misma biblioteca desde un servidor remoto («telemetrysystemcollection[.]com») como una opción alternativa.
«La función principal de los archivos DLL caídos (‘main.dll’) es actuar como un cargador y descargar el DLL de Matanbuchus real del servidor C&C», investigadores de Cyble dijoademás de establecer la persistencia mediante un tarea programada.
Por su parte, la carga útil de Matanbuchus establece una conexión con la infraestructura de C&C para recuperar las cargas útiles de la siguiente etapa, en este caso, dos Cobalt Strike Beacons para la actividad de seguimiento.
El desarrollo se produce cuando los investigadores de Fortinet FortiGuard Labs revelaron una nueva variante de un cargador de malware llamado IceXLoader que está programado en Nim y se comercializa para la venta en foros clandestinos.
Con capacidades para evadir el software antivirus, los ataques de phishing que involucran a IceXLoader han allanado el camino para DarkCrystal RAT (también conocido como DCRat) y mineros de criptomonedas deshonestos en hosts de Windows pirateados.
«Esta necesidad de evadir los productos de seguridad podría ser una de las razones por las que los desarrolladores optaron por hacer la transición de AutoIt a Nim para la versión 3 de IceXLoader», dijeron los investigadores. dijo. «Dado que Nim es un lenguaje relativamente poco común para escribir aplicaciones, los actores de amenazas aprovechan la falta de enfoque en esta área en términos de análisis y detección».