Los investigadores de ciberseguridad han marcado una nueva variante de un cargador de malware conocido llamado Matanbuco Eso incluye características significativas para mejorar su sigilo y evadir la detección.
Matanbuchus es el nombre dado a una oferta de malware como servicio (MAAS) que puede actuar como un conducto para las cargas útiles de la próxima etapa, incluidas las balizas de ataque de cobalto y el ransomware.
Publicados por primera vez en febrero de 2021 en foros de ciberdrome de habla rusa para un precio de alquiler de $ 2,500, el malware se ha utilizado como parte de señuelos similares a ClickFix para engañar a los usuarios que visitan sitios legítimos pero compremiados que no lo ejecutan.
Matanbuchus se destaca entre los cargadores porque generalmente no se extiende a través de correos electrónicos de spam o descargas. En cambio, a menudo se implementa utilizando ingeniería social práctica, donde los atacantes engañan directamente a los usuarios. En algunos casos, admite el tipo de acceso inicial utilizado por los corredores que venden entrada a grupos de ransomware. Esto lo hace más dirigido y coordinado que los cargadores de productos típicos.
La última versión del cargador, rastreada como Matanbuchus 3.0, incorpora varias características nuevas, incluidas las técnicas de protocolo de comunicación mejoradas, las capacidades en memoria, los métodos de ofuscación mejorados, la CMD y el soporte de carcasa inversa de PowerShell, y la capacidad de ejecutar cargas útiles de DLL, EXE y Shellcode de la próxima etapa, por morrfisec.
La compañía de seguridad cibernética dijo que observó el malware en un incidente a principios de este mes en el que una compañía no identificada fue dirigida a través de llamadas externas de Microsoft Equips que se sufraron una mesa de ayuda de TI y engañó a los empleados para que lanzaran asistencia rápida para el acceso remoto y luego ejecutar un script de Powershell que desplegó a Matanbuchus.
Vale la pena señalar que las tácticas de ingeniería social similares han sido empleadas por actores de amenaza asociados con la operación de ransomware negro Basta.
«Las víctimas son cuidadosamente atacadas y persuadidas para ejecutar un guión que desencadena la descarga de un archivo», dijo Michael Gorelik, CTO de Morphisec. «Este archivo contiene un Updater de Notepad ++ renombrado (GUP), un archivo XML de configuración ligeramente modificado y un DLL cargado de lateral malicioso que representa el cargador Matanbuchus».
Matanbuchus 3.0 ha sido anunciado públicamente por un precio mensual de $ 10,000 para la versión HTTPS y $ 15,000 para la versión DNS.
Una vez lanzado, el malware recopila información del sistema e itera sobre la lista de procesos de ejecución para determinar la presencia de herramientas de seguridad. También verifica el estado de su proceso para verificar si se está ejecutando con privilegios administrativos.
Luego envía los detalles recopilados a un servidor de comando y control (C2) para recibir cargas útiles adicionales en forma de instaladores MSI y ejecutables portátiles. La persistencia en la toma se logra configurando una tarea programada.
«Si bien suena simple, los desarrolladores de Matanbuchus implementaron técnicas avanzadas para programar una tarea a través del uso de COM e inyección de ShellCode», explicó Gorelik. «El shellcode en sí es interesante; implementa una resolución API relativamente básica (comparaciones de cadenas simples) y una ejecución sofisticada de COM que manipula el servicio de ITasks».
El cargador también viene equipado con características que el servidor C2 puede invocar de forma remota para recopilar todos los procesos de ejecución, los servicios en ejecución y una lista de aplicaciones instaladas.
«El malware Matanbuchus 3.0 como servicio se ha convertido en una amenaza sofisticada», dijo Gorelik. «Esta versión actualizada introduce técnicas avanzadas, como protocolos de comunicación mejorados, sigilo en memoria, ofuscación mejorada y soporte para consultas WQL, CMD y capas inversas de PowerShell».
«La capacidad del cargador para ejecutar RegSVR32, RUNDLL32, MSIEXEC o los comandos de hueco de procesos subrayan su versatilidad, por lo que es un riesgo significativo para los sistemas comprometidos».
A medida que evoluciona el malware como servicio, Matanbuchus 3.0 se ajusta a una tendencia más amplia de cargadores sigilosos que dependen de Lolbins (binarios vivos de la tierra), secuestro de objetos de com y pilotos de potencia para permanecer bajo el radar.
Los investigadores de amenazas mapean cada vez más estos cargadores como parte de las estrategias de gestión de la superficie de ataque y los vinculan con el abuso de herramientas de colaboración empresarial como los equipos de Microsoft y el zoom.
