Matanbuchus Loader, el nuevo malware as-a-service

Investigadores reportaron un actor de amenazas llamado BelialDemon, que es miembro de varios foros clandestinos y ofrece Malware-as-a-Service (MaaS).

En febrero, el actor había anunciado un nuevo MaaS llamado Matanbuchus Loader, cobrando un precio de arriendo básico de 2.500 dólares.

Los investigadores de la Unidad 42 han descubierto varias organizaciones en EEUU y Europa que son el objetivo de Matanbuchus.

BelialDemon participa en el desarrollo de cargadores de malware y es considerado el principal desarrollador del cargador TriumphLoader.

El actor de amenazas tiene experiencia en vender tales amenazas, de hecho
en las publicaciones del foro clandestino, el atacante buscaba reclutar a tres personas como parte de su oferta de MaaS.

La muestra de Matanbuchus condujo al descubrimiento delarchivo ddg [.] Dll, que se elimina activamente a través de hxxp: // idea-secure-login [.] Com y luego se guarda localmente como hcRlCTg [.] Dl

Sobre Matanbuchus

Matanbuchus MaaS puede ejecutar un archivo EXE o DLL en la memoria, aprovechar schtasks.exe para agregar o modificar programas de tareas y ejecutar comandos PowerShell personalizados, entre otras capacidades.

Los atacantes utilizan un documento de Microsoft Excel como vector inicial para soltar la DLL del cargador de Matanbuchus. Cuando se abre el documento de Excel, solicita a los usuarios que habiliten macros para ver el contenido.

El objetivo principal de DLL es eliminar la DLL principal de Matanbuchus. Sin embargo, antes de eso, realiza una serie de llamadas a la API que normalmente se observan en las comprobaciones anti-depuración y anti-virtualización.

En la actualidad, el cargador de malware está disponible para su compra en mercados clandestinos.