Sono in corso campagne phishing che sfruttano Matanbuchus, il nuovo malware loader che, come altri codici malevoli simili tipo BazarLoader, Bumblebee e Colibri (tutti disponibili nei forum underground di lingua russa), è progettato per scaricare ed eseguire altri malware di secondo livello da server di comando e controllo (C&C) sui sistemi infetti, sfruttando la capacità di far cadere i beacon Cobalt Strike sulle macchine compromesse senza essere rilevato.
“Matanbuchus è l’ennesimo esempio dell’efficacia del modello malware-as-a-service (Maas)”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus.
Indice degli argomenti
Matanbuchus è il nuovo malware-as-a-service
Matanbuchus è un loader ingegnerizzato per effettuare il download e poi caricare eseguibili second-stage via server di comando e controllo (C&C) su sistemi infetti, senza permette il rilevamento.
Il malware è in grado di lanciare file .EXE e .DLL nella memoria e far girare comandi arbitrari da PowerShell.
“Nel caso specifico”, continua Paganini, “parliamo di un loader, ovvero di un codice malevolo per caricare malware di terze parti una volta infettato il sistema della vittima”.
Inoltre, “il vantaggio di utilizzare loader come Matanbuchus è quello di disporre di un codice malevolo concepito per evadere i principali sistemi di difesa”, mette in guardia Paganini.
I forum del cybercrime hanno messo in vendita Matanbuchus al prezzo di 2500 dollari dal febbraio 2021. Ma a lanciare l’allarme è stata l’azienda di threat intelligence Cyble che, settimana scorsa, ha documentato l’ultima catena di infezione associata con il loader, collegata a un attore malevolo noto come BelialDemon.
“BelialDemon è il primo sviluppatore TriumphLoader, un loader precedentemente postato su diversi forums. Dunque ha esperienza con la vendita di questi malware”, hanno affermato Jeff White e Kyle Wilhoit della Unit 22.
“L’utilizzo di loader disponibili come MaaS”, sottolinea Paganini, “rende anche difficile attribuire le campagne malware ad uno specifico attore, essendo diversi i gruppi che pagano per questo servizio”.
Come proteggersi
C’è una “buona notizia” , conclude Paganini: “nel caso della campagna scoperta dagli esperti di Cyble”. Infatti, “l’uso di beacon Cobalt Strike è di solito individuato dalle principali aziende di sicurezza”.
Il consiglio è comunque di non effettuare download di app fuori dai marketplace ufficiali. Inoltre non bisogna mai digitare mai su link o allegati in email o messaggi, cliccando senza prima controllare dove conducono.
Infine, occorre mantenere aggiornato il sistema operativo all’ultima versione stabile disponibile ed effettuare l’update delle applicazioni scaricate, evitando il download di app inutili.
