Un malware como servicio (Maas) denominado Matanbuchus<\/strong> se ha observado que se propaga a trav\u00e9s de campa\u00f1as de phishing y, en \u00faltima instancia, deja caer el marco de trabajo posterior a la explotaci\u00f3n de Cobalt Strike en las m\u00e1quinas comprometidas.<\/p>\n Matanbuchus, como otros cargadores de malware<\/a> como BazarLoader, Bumblebee y Colibri, est\u00e1 dise\u00f1ado para descargar y ejecutar ejecutables de segunda etapa desde servidores de comando y control (C&C) en sistemas infectados sin detecci\u00f3n.<\/p>\n Disponible en foros de ciberdelincuencia de habla rusa por un precio de $ 2500 desde febrero de 2021, el malware est\u00e1 equipado con capacidades para iniciar archivos .EXE y .DLL en la memoria y ejecutar comandos arbitrarios de PowerShell.<\/p>\n Los hallazgos, publicados por la firma de inteligencia de amenazas Cyble la semana pasada, documentan la \u00faltima cadena de infecci\u00f3n asociada con el cargador, que est\u00e1 vinculado a un actor de amenazas que se hace llamar en l\u00ednea BelialDemon.<\/p>\n “Si miramos hist\u00f3ricamente, BelialDemon ha estado involucrado en el desarrollo de cargadores de malware”, los investigadores de la Unidad 42, Jeff White y Kyle Wilhoit. se\u00f1alado<\/a> en un informe de junio de 2021. “BelialDemon es considerado el principal desarrollador de TriumphCargador<\/a>un cargador publicado anteriormente en varios foros, y tiene experiencia en la venta de este tipo de malware”.<\/p>\n Los correos electr\u00f3nicos no deseados que distribuyen Matanbuchus vienen con un archivo ZIP adjunto que contiene un archivo HTML que, al abrirse, descodifica el contenido Base64 incrustado en el archivo y coloca otro archivo ZIP en el sistema.<\/p>\n El archivo de almacenamiento, a su vez, incluye un archivo de instalaci\u00f3n MSI que muestra un mensaje de error falso al momento de la ejecuci\u00f3n mientras implementa sigilosamente un archivo DLL (“main.dll”) y descarga la misma biblioteca desde un servidor remoto (“telemetrysystemcollection[.]com”) como una opci\u00f3n alternativa.<\/p>\n “La funci\u00f3n principal de los archivos DLL ca\u00eddos (‘main.dll’) es actuar como un cargador y descargar el DLL de Matanbuchus real del servidor C&C”, investigadores de Cyble dijo<\/a>adem\u00e1s de establecer la persistencia mediante un tarea programada<\/a>.<\/p>\n Por su parte, la carga \u00fatil de Matanbuchus establece una conexi\u00f3n con la infraestructura de C&C para recuperar las cargas \u00fatiles de la siguiente etapa, en este caso, dos Cobalt Strike Beacons para la actividad de seguimiento.<\/p>\n El desarrollo se produce cuando los investigadores de Fortinet FortiGuard Labs revelaron una nueva variante de un cargador de malware llamado IceXLoader que est\u00e1 programado en Nim y se comercializa para la venta en foros clandestinos.<\/p>\n Con capacidades para evadir el software antivirus, los ataques de phishing que involucran a IceXLoader han allanado el camino para DarkCrystal RAT (tambi\u00e9n conocido como DCRat) y mineros de criptomonedas deshonestos en hosts de Windows pirateados.<\/p>\n “Esta necesidad de evadir los productos de seguridad podr\u00eda ser una de las razones por las que los desarrolladores optaron por hacer la transici\u00f3n de AutoIt a Nim para la versi\u00f3n 3 de IceXLoader”, dijeron los investigadores. dijo<\/a>. “Dado que Nim es un lenguaje relativamente poco com\u00fan para escribir aplicaciones, los actores de amenazas aprovechan la falta de enfoque en esta \u00e1rea en t\u00e9rminos de an\u00e1lisis y detecci\u00f3n”.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ\/s1600\/crowdsec-728.jpg\")
<\/a><\/div>\n