Los investigadores de ciberseguridad están marcando una nueva variante de un cargador de malware conocido llamado Matanbuchus, que empaca características clave para mejorar el sigilo y evitar la detección.
Matanbuchus es el nombre dado para proporcionar malware como un servicio (MAAS) que podría servir como un conducto para la carga útil de la siguiente etapa, como balizas de ataque de cobalto y ransomware.
El malware, promovido por primera vez en un foro de delito cibernético de habla rusa para un precio de alquiler de $ 2,500 en febrero de 2021, se ha utilizado como parte de señuelos como ClickFix, engañando a los usuarios que no están ejecutando sitios legales pero intransigentes.
Matanbuchus se destaca entre los cargadores, ya que normalmente no se extiende a través de correos electrónicos de spam o descargas. En cambio, a menudo se implementa utilizando ingeniería social práctica donde los atacantes engañan directamente a los usuarios. En algunos casos, admite el tipo de acceso inicial utilizado por los corredores que venden entradas a grupos de ransomware. Esto lo hace más dirigido y personalizado que un cargador de productos típico.
La última versión del cargador, rastreada como Matanbuchus 3.0, incorpora varias características nuevas, incluida la tecnología mejorada del protocolo de comunicación, las características de la memoria, los métodos de ofuscación, la carga útil de CMD y PowerShell Inverse Shell, la capacidad de ejecutar la próxima etapa DLL, EXE y la carga útil de CodeCode, y la capacidad de ejecutar el pago de Morphisec.
La compañía de ciberseguridad dijo que observó malware en un incidente a principios de este mes. Allí, observamos que un equipo externo de Microsoft inscribió los escritorios de ayuda, dirigidos a los empleados para iniciar asistencia rápida para el acceso remoto y ejecutar scripts de PowerShell desplegados por Matambukas.
Es de destacar que las tácticas de ingeniería social similares han sido adoptadas por los actores de amenaza asociados con la operación de los bosarransomware negro.
«Las víctimas son cuidadosamente atacadas y persuadidas para ejecutar un guión que desencadena la descarga del archivo», dice el CTO de Morphisec Michael Gorelik. «Este archivo contiene un Updater de Notepad ++ renombrado (GUP), un archivo XML de configuración ligeramente modificado y una DLL lateral maliciosa que representa un lanzador de Matumbucha».
Matanbuchus 3.0 está disponible por un precio mensual de $ 10,000 para la versión HTTPS y $ 15,000 para la versión DNS.
Una vez lanzado, el malware recopila información del sistema y repite la lista de procesos de ejecución para determinar la existencia de la herramienta de seguridad. También verifica el estado del proceso para ver si se está ejecutando con privilegios administrativos.
Luego envía los detalles recopilados a un servidor de comando y control (C2) para recibir cargas útiles adicionales en forma de un instalador MSI y un ejecutable portátil. La persistencia de tiro se logra configurando una tarea programada.
«Suena simple, pero los desarrolladores de Matanbuchus han implementado técnicas avanzadas para programar tareas mediante el uso de COM e inyectar shellcode», explicó Gorelik. «El shellcode en sí es interesante. Implementa una resolución de API relativamente básica (comparación de cadenas simple) y una ejecución sofisticada de COM que funciona en ItakService».
El cargador está equipado con características que son invocadas de forma remota por el servidor C2, lo que le permite recopilar una lista de todos los procesos en ejecución, servicios en ejecución y aplicaciones instaladas.
«Matanbuchus 3.0 malware como servicio se ha convertido en una amenaza sofisticada», dice Gorelik. «Esta versión actualizada introduce técnicas avanzadas como protocolos de comunicación, Inmemory Stealth, ofuscación mejorada, consultas WQL, CMD y soporte de caparazón inverso de PowerShell».
«La capacidad de un cargador para manejar los comandos Regsvr32, Rundll32, Msiexec o Hollow resalta su versatilidad, lo que resulta en un riesgo importante para un sistema comprometido».
Tan malware como un servicio evoluciona, Matanbuchus 3.0 se ajusta a la tendencia más amplia de los primeros cargadores sigilosos que dependen de lolbins (binarios vivos de la tierra en la tierra), secuestro de objetos de com y spicers de powershell, permaneciendo bajo el radar.
Los investigadores de amenazas mapean cada vez más estos cargadores como parte de sus estrategias de gestión de la superficie de ataque y los vinculan con el abuso de herramientas de colaboración empresarial como los equipos de Microsoft y el zoom.
Source link
