Pesquisadores de cibersegurança identificaram uma nova variante de um conhecido carregador de malware chamado Matanbuchus, que inclui recursos significativos para aumentar sua furtividade e evitar detecção.
Matanbuchus é o nome dado a uma oferta de malware-como-serviço (MaaS) que pode atuar como um condutor para payloads úteis subsequentes, incluindo beacons do Cobalt Strike e ransomware.
Primeiramente anunciado em fevereiro de 2021 em fóruns de cibercrime de língua russa por um preço de aluguel de $2.500, o malware tem sido utilizado como parte de iscas ao estilo ClickFix para enganar usuários que visitam sites legítimos, porém comprometidos.
Matanbuchus se destaca entre os carregadores porque geralmente não é disseminado por meio de emails de spam ou downloads drive-by.
Em vez disso, é frequentemente implantado usando engenharia social direta, onde os atacantes enganam os usuários diretamente.
Em alguns casos, ele suporta o tipo de acesso inicial usado por intermediários que vendem entrada para grupos de ransomware.
Isso o torna mais direcionado e coordenado do que os carregadores comuns.
A última versão do carregador, rastreada como Matanbuchus 3.0, incorpora várias novas funcionalidades, incluindo técnicas de protocolo de comunicação aprimoradas, capacidades em memória, métodos de ofuscação aprimorados, suporte a reverse shell de CMD e PowerShell, e a capacidade de executar payloads úteis de próxima fase em DLL, EXE e shellcode, de acordo com a Morphisec.
A empresa de cibersegurança disse ter observado o malware em um incidente este mês, onde uma empresa não nomeada foi alvo através de chamadas externas do Microsoft Teams que se passavam por um help desk de TI e enganavam funcionários a iniciarem o Quick Assist para acesso remoto e, em seguida, a executarem um script de PowerShell que implantava o Matanbuchus.
Vale ressaltar que táticas de engenharia social semelhantes têm sido empregadas por atores de ameaças associados à operação de ransomware Black Basta.
"As vítimas são cuidadosamente direcionadas e persuadidas a executar um script que dispara o download de um arquivo," disse Michael Gorelik, CTO da Morphisec.
Este arquivo contém um atualizador do Notepad++ renomeado (GUP), um arquivo XML de configuração levemente modificado e uma DLL maliciosa carregada lateralmente representando o carregador Matanbuchus.
Matanbuchus 3.0 foi anunciado publicamente por um preço mensal de $10.000 para a versão HTTPS e $15.000 para a versão DNS.
Uma vez lançado, o malware coleta informações do sistema e itera sobre a lista de processos em execução para determinar a presença de ferramentas de segurança.
Ele também verifica o status do seu processo para verificar se está sendo executado com privilégios administrativos.
Em seguida, envia os detalhes coletados para um servidor de comando e controle (C2) para receber payloads úteis adicionais na forma de instaladores MSI e executáveis portáteis.
A persistência no alvo é alcançada configurando uma tarefa agendada.
"Embora pareça simples, os desenvolvedores do Matanbuchus implementaram técnicas avançadas para agendar uma tarefa por meio do uso de COM e injeção de shellcode," explicou Gorelik.
O próprio shellcode é interessante; ele implementa uma resolução de API relativamente básica (comparações simples de strings) e uma execução sofisticada de COM que manipula o ITaskService.
O carregador também vem equipado com recursos que podem ser invocados remotamente pelo servidor C2 para coletar todos os processos em execução, serviços ativos e uma lista de aplicações instaladas.
"O Malware-como-Serviço Matanbuchus 3.0 evoluiu para uma ameaça sofisticada," disse Gorelik.
Esta versão atualizada introduz técnicas avançadas como protocolos de comunicação aprimorados, furtividade em memória, ofuscação aprimorada e suporte para consultas WQL, CMD e reverse shells de PowerShell.
A capacidade do carregador de executar comandos regsvr32, rundll32, msiexec ou hollowing de processos destaca sua versatilidade, tornando-o um risco significativo para sistemas comprometidos.
Conforme o malware-como-serviço evolui, Matanbuchus 3.0 se encaixa em uma tendência mais ampla de carregadores que priorizam a furtividade e dependem de LOLBins (binários living-off-the-land), sequestro de objetos COM e estagiários de PowerShell para permanecerem despercebidos.
Pesquisadores de ameaças estão cada vez mais mapeando esses carregadores como parte das estratégias de gerenciamento de superfície de ataque e vinculando-os ao abuso de ferramentas de colaboração empresarial como o Microsoft Teams e o Zoom.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...