I ricercatori dell’Unità 42 hanno indagato un attore di minacce chiamato BelialDemon e individuato un nuovo malware-as-a-service (MaaS) chiamato “Matanbuchus” creato dall’hacker.
I malware loaders sono software dannosi che in genere rilasciano o eliminano malware di seconda fase dalle infrastrutture di comando e controllo (C2).
Matanbuchus è venduto a un prezzo iniziale di noleggio di $2.500. È in grado di avviare un file .exe o .dll in memoria, di sfruttare schtasks.exe per aggiungere o modificare le pianificazioni delle attività, di avviare comandi PowerShell personalizzati e di sfruttare un eseguibile autonomo per caricare la DLL se l’attaccante non ha modo di farlo.
Il vettore iniziale di attacco è un documento Microsoft Excel. Una volta aperto, viene ricevuta la notifica di abilitare necessariamente le macro per visualizzare il contenuto effettivo del documento.
L’utente che esegue il file Excel e abilita le macro recupererà dal dominio (idea-secure-login.com) una DLL chiamata ddg.dll. Il file viene poi salvato sul sistema della vittima come hcRlCTg.dll.
La minaccia di Matanbuchus risiede in due precise DLL: MatanbuchusDroper.dll e Matanbuchus.dll.
Gli esperti hanno individuato diverse organizzazioni colpite da Matanbuchus, tra cui una grande università e un liceo negli Stati Uniti, nonché un’organizzazione high-tech in Belgio.
Inoltre, i ricercatori hanno osservato che l’attore BelialDemon si attiene a un particolare tema biblico: il nome Belial insieme al nome del loro nuovo loader Matanbuchus, derivano dall’Ascensione di Isaia 2:4 che parla di illegalità, “un tema adatto per le loro operazioni” concludono gli esperti.
https://unit42.paloaltonetworks.com/matanbuchus-malware-as-a-service/
