Hizmet olarak Kötü Amaçlı Yazılım (MaaS) aracılığıyla karanlık ağ üzerinde dağıtılan Matanbuches kötü amaçlı yazılımı, artık kötü amaçlı ekleri olan bir hedef odaklı kimlik avı kampanyasıyla yeniden ortaya çıktı.
Kötü amaçlı yazılım, Rusça konuşan bir siber suç yeraltı forumundan ve pazar yerinden faaliyet gösteren ve büyük üniversiteler, liseler ve ayrıca teknoloji kuruluşları da dahil olmak üzere dünyanın dört bir yanındaki farklı kurbanlara bulaşmak için kötü amaçlı yazılımı 2500 dolara satan BelialDemon tehdit aktörüne atfediliyor.
Matanbuches loader, son zamanlarda kötü amaçlı .HTML ekinin base64 ile gömülü olduğu ve Javascript ve HTML dilinde yazılmış spam kampanyaları aracılığıyla gözlemlendi.
Kurbanın sisteminde başarılı bir şekilde yürütülmesi üzerine, kötü şöhretli kobalt grev işaret yükü de dahil olmak üzere C2 sunucularından ek yükler indirir.
Matanbuches Kötü Amaçlı Yazılım Yürütme Süreci
Başlangıçta, hedef odaklı kimlik avı e-posta kampanyası, kurbanları ikna etmek için Onedrive simgesi kullanılarak meşru bir taranmış kopya gibi görünen kötü niyetli bir .HTML Eki ile kurbanlara teslim edildi.
Araştırmacılar SİFİRMA münhasıran rapor edildi Cyber Security News’e “e-posta, yürütüldüğünde bir zip dosyası bırakan gömülü base64’e sahip .HTML biçiminde kötü amaçlı bir ek içeriyor. HTML ekine tıklandığında bir zip arşiv dosyası düşer ve bu zip dosyası bir MSI dosyası içerir. MSI dosyasını çalıştırırken, kötü amaçlı dll dosyasını arka planda bırakırken kullanıcıya sahte Adobe hata mesajını gösteriyor..”
İçeride, kötü amaçlı bir ZIP dosyası, dosyaya başarılı bir tıklamanın ardından, indirme klasörüne bir ZIP dosyasının düşmesine ve kurbanın sisteminde Matanbuches kötü amaçlı yazılımının yürütülmesine yol açan Scan-23112.zip adlı base64 formatı Javascript ile gömülüdür.
Daha fazla analiz, bırakılan zip dosyasının içinde paketlenmiş MSI yükleyici dosyasını ortaya çıkarır, ayrıca MSI dosyasının daha sonra iptal edilmiş bir dijital imzası vardır.
MSI dosyası yürütüldüğünde, Adobe Front Pack sürümünü yapılandırıyormuş gibi yapıyor ve sahte bir hata mesajı veriyor.
Ancak kurbanlar, MSI dosyasının AdobeFontPack klasörünü oluşturduğu ve Two dosyalarını bıraktığı arka plan sürecinden habersizdi.
MSI dosyası main.dll dosyasını yükledikten kısa bir süre sonra, C2 sunucusuyla bağlantı kurar ve PowerShell komut dosyalarını yürütme, tuş vuruşlarını kaydetme, ekran görüntüsü alma, dosya indirme gibi kullanım sonrası etkinlikleri gerçekleştirecek Cobalt Strike Beacon yükü olan başka bir kötü amaçlı yazılımı indirir. , ve diğer yükleri oluşturur.
bizi takip edebilirsiniz Linkedin, heyecan, Facebook günlük Siber Güvenlik güncellemeleri için.