Die Experten der Certified Security Operations Center GmbH haben beobachtet, dass sich eine Malware-as-a-Service (Maas) mit dem Namen Matanbuchus aktuell rasant über Phishing-Kampagnen verbreitet.
Matanbuchus ist wie ein typischer Malware-Loader konzipiert, vergleichbar mit z. B. BazarLoader, Bumblebee oder Colibri. Matanbuchus lädt unbemerkt ausführbare Dateien von Command-and-Control-Servern (C&C) auf infizierte Systeme herunter, führt sie aus und legt das Cobalt Strike Post-Exploitation-Framework auf kompromittierten Rechnern ab.
Die Malware, die seit Februar 2021 auf diversen russischsprachigen Cybercrime-Foren zum Preis von 2.500 US-Dollar angeboten wird, ist mit der Fähigkeit ausgestattet, EXE- und DLL-Dateien eigenständig im Speicher zu starten und beliebige PowerShell-Befehle auszuführen. Zudem besitzt sie die Fähigkeit, schtasks.exe zum Hinzufügen oder Ändern von Aufgabenplänen zu nutzen.
Die Spam-E-Mails, die Matanbuchus verbreiten, enthalten einen ZIP-Dateianhang mit einer HTML-Datei, die beim Öffnen den in der Datei eingebetteten Base64-Inhalt entschlüsselt und eine weitere ZIP-Datei auf dem System ablegt. Die Archivdatei wiederum enthält eine MSI-Installationsdatei, die bei der Ausführung eine gefälschte Fehlermeldung anzeigt, während sie unbemerkt eine DLL-Datei („main.dll“) bereitstellt und dieselbe Bibliothek von einem Remote-Server („telemetrysystemcollection[.]com“) als Ausweichoption herunterlädt. Die Hauptfunktion der abgelegten DLL-Dateien (‚main.dll‘) besteht darin, als Downloader zu fungieren und die eigentliche Matanbuchus-DLL vom C&C-Server herunterzuladen.
Es sind bereits mehrere Organisationen, darunter eine große Universität und eine Highschool in den Vereinigten Staaten sowie ein High-Tech-Unternehmen in Belgien von Matanbuchus betroffen. Handeln Sie jetzt und schützen Sie sich!
Unsere Handlungsempfehlungen:
– Vermeiden Sie das Herunterladen von Dateien von unbekannten Websites.
– Verwenden Sie auf Ihren angeschlossenen Geräten, einschließlich PC, Laptop und Mobiltelefon, ein renommiertes Antiviren- und Internetsicherheitspaket.
– Öffnen Sie keine Links und E-Mail-Anhänge, ohne deren Authentizität zu überprüfen.
– Klären Sie Ihre Mitarbeiter darüber auf, wie sie sich vor Bedrohungen wie Phishing oder nicht vertrauenswürdigen URLs schützen können.
– Überwachen Sie den Beacon auf Netzwerkebene, um die Datenexfiltration durch Malware oder Hacker zu verhindern.
-Aktivieren Sie eine Lösung zur Verhinderung von Datenverlusten (DLP) auf den Systemen Ihrer Mitarbeiter.
Quellen:
https://unit42.paloaltonetworks.com/matanbuchus-malware-as-a-service/
https://blog.cyble.com/2022/06/23/matanbuchus-loader-resurfaces/