Los investigadores de ciberseguridad han afectado una nueva transformación de un cargador de malware conocido llamado Matanbuco Eso incluye características significativas para mejorar su sigilo y sortear la detección.
Matanbuchus es el nombre cubo a una proposición de malware como servicio (MAAS) que puede hacer como un conducto para las cargas aperos de la próxima etapa, incluidas las balizas de ataque de cobalto y el ransomware.
Publicados por primera vez en febrero de 2021 en foros de ciberdrome de palabra rusa para un precio de arrendamiento de $ 2,500, el malware se ha utilizado como parte de señuelos similares a ClickFix para engañar a los usuarios que visitan sitios legítimos pero compremiados que no lo ejecutan.
Matanbuchus se destaca entre los cargadores porque generalmente no se extiende a través de correos electrónicos de spam o descargas. En cambio, a menudo se implementa utilizando ingeniería social actos, donde los atacantes engañan directamente a los usuarios. En algunos casos, admite el tipo de acercamiento auténtico utilizado por los corredores que venden entrada a grupos de ransomware. Esto lo hace más dirigido y coordinado que los cargadores de productos típicos.
La última interpretación del cargador, rastreada como Matanbuchus 3.0, incorpora varias características nuevas, incluidas las técnicas de protocolo de comunicación mejoradas, las capacidades en memoria, los métodos de ofuscación mejorados, la CMD y el soporte de carcasa inversa de PowerShell, y la capacidad de ejecutar cargas aperos de DLL, EXE y Shellcode de la próxima etapa, por morrfisec.
La compañía de seguridad cibernética dijo que observó el malware en un incidente a principios de este mes en el que una compañía no identificada fue dirigida a través de llamadas externas de Microsoft Equips que se sufraron una mesa de ayuda de TI y engañó a los empleados para que lanzaran subsidio rápida para el acercamiento remoto y luego ejecutar un script de Powershell que desplegó a Matanbuchus.
Vale la pena señalar que las tácticas de ingeniería social similares han sido empleadas por actores de amenaza asociados con la operación de ransomware enfadado Pespunte.
«Las víctimas son cuidadosamente atacadas y persuadidas para ejecutar un argumento que desencadena la descarga de un archivo», dijo Michael Gorelik, CTO de Morphisec. «Este archivo contiene un Updater de Notepad ++ renombrado (GUP), un archivo XML de configuración levemente modificado y un DLL cargado de fronterizo malvado que representa el cargador Matanbuchus».
Matanbuchus 3.0 ha sido anunciado públicamente por un precio mensual de $ 10,000 para la interpretación HTTPS y $ 15,000 para la interpretación DNS.
Una vez decidido, el malware recopila información del sistema e itera sobre la inventario de procesos de ejecución para determinar la presencia de herramientas de seguridad. Asimismo verifica el estado de su proceso para realizar si se está ejecutando con privilegios administrativos.
Luego envía los detalles recopilados a un servidor de comando y control (C2) para admitir cargas aperos adicionales en forma de instaladores MSI y ejecutables portátiles. La persistencia en la toma se logra configurando una tarea programada.
«Si aceptablemente suena simple, los desarrolladores de Matanbuchus implementaron técnicas avanzadas para programar una tarea a través del uso de COM e inyección de ShellCode», explicó Gorelik. «El shellcode en sí es interesante; implementa una resolución API relativamente básica (comparaciones de cadenas simples) y una ejecución sofisticada de COM que manipula el servicio de ITasks».
El cargador todavía viene equipado con características que el servidor C2 puede invocar de forma remota para compendiar todos los procesos de ejecución, los servicios en ejecución y una inventario de aplicaciones instaladas.
«El malware Matanbuchus 3.0 como servicio se ha convertido en una amenaza sofisticada», dijo Gorelik. «Esta interpretación actualizada introduce técnicas avanzadas, como protocolos de comunicación mejorados, sigilo en memoria, ofuscación mejorada y soporte para consultas WQL, CMD y capas inversas de PowerShell».
«La capacidad del cargador para ejecutar RegSVR32, RunDLL32, MSIEXEC o los comandos de hueco de procesos subraya su versatilidad, por lo que es un peligro significativo para los sistemas comprometidos».
A medida que evoluciona el malware como servicio, Matanbuchus 3.0 se ajusta a una tendencia más amplia de cargadores sigilosos que dependen de Lolbins (binarios vivos de la tierra), secuestro de objetos de com y pilotos de potencia para permanecer bajo el radar.
Los investigadores de amenazas mapean cada vez más estos cargadores como parte de las estrategias de administración de la superficie de ataque y los vinculan con el exageración de herramientas de colaboración empresarial como los equipos de Microsoft y el teleobjetivo.
