Eine Malware-as-a-Service (Maas) mit dem Namen Matanbuchus wurde dabei beobachtet, wie sie sich über Phishing-Kampagnen verbreitete und schließlich das Cobalt Strike Post-Exploitation-Framework auf kompromittierten Rechnern ablegte.
Matanbuchus ist wie andere Malware-Loader wie BazarLoader, Bumblebee und Colibri so konzipiert, dass er unbemerkt ausführbare Dateien der zweiten Stufe von Command-and-Control (C&C)-Servern auf infizierte Systeme herunterlädt und ausführt.
Die Malware, die seit Februar 2021 in russischsprachigen Cybercrime-Foren zum Preis von 2.500 US-Dollar angeboten wird, ist in der Lage, EXE- und DLL-Dateien im Speicher zu starten und beliebige PowerShell-Befehle auszuführen.
Die Ergebnisse, die letzte Woche von der Threat Intelligence Firma Cyble veröffentlicht wurden, dokumentieren die jüngste Infektionskette, die mit dem Loader in Verbindung gebracht wird, der mit einem Bedrohungsakteur in Verbindung steht, der den Online-Namen BelialDemon trägt.
„In der Vergangenheit war BelialDemon an der Entwicklung von Malware-Loadern beteiligt“, schreiben die Forscher von Unit 42, Jeff White und Kyle Wilhoit, in einem Bericht vom Juni 2021. „BelialDemon gilt als Hauptentwickler von TriumphLoader, einem Loader, über den bereits in mehreren Foren berichtet wurde, und hat Erfahrung mit dem Verkauf dieser Art von Malware.“
Die Spam-E-Mails, die Matanbuchus verbreiten, enthalten einen ZIP-Dateianhang mit einer HTML-Datei, die beim Öffnen den in der Datei eingebetteten Base64-Inhalt entschlüsselt und eine weitere ZIP-Datei auf dem System ablegt.
Die Archivdatei wiederum enthält eine MSI-Installationsdatei, die bei der Ausführung eine gefälschte Fehlermeldung anzeigt, während sie heimlich eine DLL-Datei („main.dll“) installiert und dieselbe Bibliothek von einem entfernten Server („telemetrysystemcollection[.]com“) als Ausweichoption herunterlädt.
Die Hauptfunktion der abgelegten DLL-Dateien (‚main.dll‘) besteht darin, als Lader zu fungieren und die eigentliche Matanbuchus-DLL vom C&C-Server herunterzuladen“, so die Cyble-Forscher, „außerdem wird die Persistenz durch eine geplante Aufgabe hergestellt.
Die Matanbuchus-Nutzlast stellt ihrerseits eine Verbindung zur C&C-Infrastruktur her, um die Nutzlasten der nächsten Stufe abzurufen, in diesem Fall zwei Cobalt Strike Beacons für Folgeaktivitäten.
Die Entwicklung kommt zu einem Zeitpunkt, an dem Forscher von Fortinet FortiGuard Labs eine neue Variante eines Malware-Laders namens IceXLoader aufgedeckt haben, der in Nim programmiert ist und in Untergrundforen zum Verkauf angeboten wird.
Mit seiner Fähigkeit, Antivirensoftware zu umgehen, hat der IceXLoader den Weg für DarkCrystal RAT (auch bekannt als DCRat) und Rogue Cryptocurrency Miners auf gehackten Windows-Rechnern geebnet.
„Diese Notwendigkeit, Sicherheitsprodukte zu umgehen, könnte ein Grund dafür sein, dass die Entwickler für IceXLoader Version 3 von AutoIt auf Nim umgestiegen sind“, so die Forscher. „Da Nim eine relativ ungewöhnliche Sprache ist, in der Anwendungen geschrieben werden, nutzen Bedrohungsakteure die mangelnde Konzentration auf diesen Bereich in Bezug auf Analyse und Erkennung aus.“