Certified Security Operations Center GmbH

8. Juli 2022

Matanbuchus-Malware-Kampagne breitet sich aus

Die Experten der Certified Security Operations Center GmbH haben beobachtet, dass sich eine Malware-as-a-Service (Maas) mit dem Namen Matanbuchus aktuell rasant über Phishing-Kampagnen verbreitet.

Matanbuchus ist wie ein typischer Malware-Loader konzipiert, vergleichbar mit z. B. BazarLoader, Bumblebee oder Colibri. Matanbuchus lädt unbemerkt ausführbare Dateien von Command-and-Control-Servern (C&C) auf infizierte Systeme herunter, führt sie aus und legt das Cobalt Strike Post-Exploitation-Framework auf kompromittierten Rechnern ab.

Die Malware, die seit Februar 2021 auf diversen russischsprachigen Cybercrime-Foren zum Preis von 2.500 US-Dollar angeboten wird, ist mit der Fähigkeit ausgestattet, EXE- und DLL-Dateien eigenständig im Speicher zu starten und beliebige PowerShell-Befehle auszuführen. Zudem besitzt sie die Fähigkeit, schtasks.exe zum Hinzufügen oder Ändern von Aufgabenplänen zu nutzen.

Die Spam-E-Mails, die Matanbuchus verbreiten, enthalten einen ZIP-Dateianhang mit einer HTML-Datei, die beim Öffnen den in der Datei eingebetteten Base64-Inhalt entschlüsselt und eine weitere ZIP-Datei auf dem System ablegt. Die Archivdatei wiederum enthält eine MSI-Installationsdatei, die bei der Ausführung eine gefälschte Fehlermeldung anzeigt, während sie unbemerkt eine DLL-Datei („main.dll“) bereitstellt und dieselbe Bibliothek von einem Remote-Server („telemetrysystemcollection[.]com“) als Ausweichoption herunterlädt. Die Hauptfunktion der abgelegten DLL-Dateien (‚main.dll‘) besteht darin, als Downloader zu fungieren und die eigentliche Matanbuchus-DLL vom C&C-Server herunterzuladen.

Es sind bereits mehrere Organisationen, darunter eine große Universität und eine Highschool in den Vereinigten Staaten sowie ein High-Tech-Unternehmen in Belgien von Matanbuchus betroffen. Handeln Sie jetzt und schützen Sie sich!

Unsere Handlungsempfehlungen:

– Vermeiden Sie das Herunterladen von Dateien von unbekannten Websites.

– Verwenden Sie auf Ihren angeschlossenen Geräten, einschließlich PC, Laptop und Mobiltelefon, ein renommiertes Antiviren- und Internetsicherheitspaket.

– Öffnen Sie keine Links und E-Mail-Anhänge, ohne deren Authentizität zu überprüfen.

– Klären Sie Ihre Mitarbeiter darüber auf, wie sie sich vor Bedrohungen wie Phishing oder nicht vertrauenswürdigen URLs schützen können.

– Überwachen Sie den Beacon auf Netzwerkebene, um die Datenexfiltration durch Malware oder Hacker zu verhindern.

-Aktivieren Sie eine Lösung zur Verhinderung von Datenverlusten (DLP) auf den Systemen Ihrer Mitarbeiter.

Quellen:

https://unit42.paloaltonetworks.com/matanbuchus-malware-as-a-service/

https://blog.cyble.com/2022/06/23/matanbuchus-loader-resurfaces/

error: