Un malware-as-a-service (Maas) surnommé Matanbuchus a été observé se propageant par le biais de campagnes de phishing, abandonnant finalement le framework de post-exploitation Cobalt Strike sur des machines compromises.
Matanbuchus, comme les autres chargeurs de logiciels malveillants tels que BazarLoader, Bumblebee et Colibri, est conçu pour télécharger et exécuter des exécutables de deuxième étape à partir de serveurs de commande et de contrôle (C&C) sur des systèmes infectés sans détection.
Disponible sur les forums de cybercriminalité russophones au prix de 2 500 $ depuis février 2021, le malware est équipé de capacités pour lancer des fichiers .EXE et .DLL en mémoire et exécuter des commandes PowerShell arbitraires.
Les conclusions, publiées par la société de renseignements sur les menaces Cyble la semaine dernière, documentent la dernière chaîne d’infection associée au chargeur, qui est liée à un acteur menaçant qui se fait appeler BelialDemon.
« Si nous regardons historiquement, BelialDemon a été impliqué dans le développement de chargeurs de logiciels malveillants », ont déclaré Jeff White et Kyle Wilhoit, chercheurs de l’Unité 42. c’est noté dans un rapport de juin 2021. « BelialDemon est considéré comme le principal développeur de TriumphLoaderun chargeur déjà publié sur plusieurs forums, et qui a de l’expérience dans la vente de ce type de malware. »
Les e-mails de spam distribuant Matanbuchus sont accompagnés d’une pièce jointe de fichier ZIP contenant un fichier HTML qui, à l’ouverture, décode le contenu Base64 intégré dans le fichier et dépose un autre fichier ZIP sur le système.
Le fichier d’archive, à son tour, comprend un fichier d’installation MSI qui affiche un faux message d’erreur lors de l’exécution tout en déployant furtivement un fichier DLL (« main.dll ») ainsi qu’en téléchargeant la même bibliothèque à partir d’un serveur distant (« telemetrysystemcollection[.]com ») comme option de secours.
« La fonction principale des fichiers DLL supprimés (« main.dll ») est d’agir comme un chargeur et de télécharger la DLL Matanbuchus réelle à partir du serveur C&C », ont déclaré les chercheurs de Cyble. a diten plus d’établir la persistance au moyen d’un tâche planifiée.
Pour sa part, la charge utile Matanbuchus établit une connexion à l’infrastructure C&C pour récupérer les charges utiles de l’étape suivante, dans ce cas, deux balises Cobalt Strike pour l’activité de suivi.
Le développement intervient alors que des chercheurs de Fortinet FortiGuard Labs ont dévoilé une nouvelle variante d’un chargeur de logiciels malveillants appelé IceXLoader, programmé dans Nim et commercialisé sur des forums clandestins.
Dotées de capacités pour échapper aux logiciels antivirus, les attaques de phishing impliquant IceXLoader ont ouvert la voie à DarkCrystal RAT (alias DCRat) et aux mineurs de crypto-monnaie voyous sur des hôtes Windows piratés.
« Ce besoin d’échapper aux produits de sécurité pourrait être une raison pour laquelle les développeurs ont choisi de passer d’AutoIt à Nim pour IceXLoader version 3 », ont déclaré les chercheurs. a dit. « Étant donné que Nim est un langage relativement rare pour l’écriture d’applications, les acteurs de la menace profitent du manque de concentration sur ce domaine en termes d’analyse et de détection. »