L'ANALISI TECNICA

Matanbuchus, il malware-as-a-service che usa Cobalt Strike per infettare i dispositivi compromessi

Sono state identificate nuove campagne phishing che sfruttano Matanbuchus, il nuovo codice malevolo che fa cadere beacon Cobalt Strike sulle macchine compromesse per caricare malware di terze parti. Ecco tutti i dettagli e come tutelarsi

28 Giu 2022
C
Mirella Castigli

Giornalista

Sono in corso campagne phishing che sfruttano Matanbuchus, il nuovo malware loader che, come altri codici malevoli simili tipo BazarLoader, Bumblebee e Colibri (tutti disponibili nei forum underground di lingua russa), è progettato per scaricare ed eseguire altri malware di secondo livello da server di comando e controllo (C&C) sui sistemi infetti, sfruttando la capacità di far cadere i beacon Cobalt Strike sulle macchine compromesse senza essere rilevato.

“Matanbuchus è l’ennesimo esempio dell’efficacia del modello malware-as-a-service (Maas)”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus.

Matanbuchus è il nuovo malware-as-a-service

Matanbuchus è un loader ingegnerizzato per effettuare il download e poi caricare eseguibili second-stage via server di comando e controllo (C&C) su sistemi infetti, senza permette il rilevamento.

WHITEPAPER
La guida per scegliere il miglior antivirus gratuito per il tuo PC
Personal Computing
Cybersecurity

Il malware è in grado di lanciare file .EXE e .DLL nella memoria e far girare comandi arbitrari da PowerShell.

“Nel caso specifico”, continua Paganini, “parliamo di un loader, ovvero di un codice malevolo per caricare malware di terze parti una volta infettato il sistema della vittima”.

Inoltre, “il vantaggio di utilizzare loader come Matanbuchus è quello di disporre di un codice malevolo concepito per evadere i principali sistemi di difesa”, mette in guardia Paganini.

I forum del cybercrime hanno messo in vendita Matanbuchus al prezzo di 2500 dollari dal febbraio 2021. Ma a lanciare l’allarme è stata l’azienda di threat intelligence Cyble che, settimana scorsa, ha documentato l’ultima catena di infezione associata con il loader, collegata a un attore malevolo noto come BelialDemon.

“BelialDemon è il primo sviluppatore TriumphLoader, un loader precedentemente postato su diversi forums. Dunque ha esperienza con la vendita di questi malware”, hanno affermato Jeff White e Kyle Wilhoit della Unit 22.

“L’utilizzo di loader disponibili come MaaS”, sottolinea Paganini, “rende anche difficile attribuire le campagne malware ad uno specifico attore, essendo diversi i gruppi che pagano per questo servizio”.

Come proteggersi

C’è una “buona notizia” , conclude Paganini: “nel caso della campagna scoperta dagli esperti di Cyble”. Infatti, “l’uso di beacon Cobalt Strike è di solito individuato dalle principali aziende di sicurezza”.

Il consiglio è comunque di non effettuare download di app fuori dai marketplace ufficiali. Inoltre non bisogna mai digitare mai su link o allegati in email o messaggi, cliccando senza prima controllare dove conducono.

Infine, occorre mantenere aggiornato il sistema operativo all’ultima versione stabile disponibile ed effettuare l’update delle applicazioni scaricate, evitando il download di app inutili.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3