Matanbuchus Loader: Um Novo Malware-as-a-Service

O que aconteceu?

Os pesquisadores da Unidade 42 descobriram que várias organizações, como grandes universidades e escolas de ensino médio nos Estados Unidos, junto com organizações de alta tecnologia na Bélgica, estão sendo visadas por Matanbuchus.

• O BelialDemon está envolvido no desenvolvimento de carregadores de malware e é considerado o principal desenvolvedor de um carregador, o TriumphLoader. O ator da ameaça tem experiência na venda de tais ameaças.
• Nas postagens do fórum clandestino, o invasor estava particularmente procurando recrutar três pessoas como parte de sua oferta MaaS.
• A amostra de Matanbuchus levou à descoberta de um arquivo na natureza, ddg [.] Dll, que é descartado ativamente via hxxp: // idea-secure-login [.] Com e então salvo localmente como hcRlCTg [.] Dll.

Sobre Matanbuchus 

Os operadores BelialDemon seguem um tema bíblico para seu nome. A palavra Belial e o nome do carregador Matanbuchus, derivam da Ascensão de Isaías.

• Matanbuchus MaaS pode iniciar um arquivo EXE ou DLL na memória, aproveitar o schtasks.exe para adicionar ou modificar agendas de tarefas e iniciar comandos PowerShell personalizados, entre outros recursos.
• Os invasores usam um documento do Microsoft Excel como o vetor inicial para eliminar a DLL do Carregador do Matanbuchus. Quando o documento do Excel é aberto, ele pede aos usuários que habilitem macros para visualizar o conteúdo.
• O principal objetivo do DLL é eliminar o DLL principal do Matanbuchus. No entanto, antes disso, ele faz uma série de chamadas de API geralmente observadas em verificações de anti-depuração e anti-virtualização.

Conclusão

No momento, o carregador de malware está disponível para compra em mercados clandestinos. Portanto, para se proteger de tais ameaças, os especialistas recomendam o uso de soluções genuínas de inteligência de ameaças para fortalecer as defesas das organizações.

Fonte: https://cyware.com/