Malware Matanbuchus
Le Malware Matanbuchus est un chargeur menaçant qui est proposé dans le cadre d'un programme de malware en tant que service (MaaS) sur les forums et marchés de pirates clandestins. Le créateur du Matanbuchus est un acteur menaçant opérant sous le nom de BelialDemon. Selon l'argumentaire de vente, les clients potentiels devraient payer un prix de location initial de 2500 $ pour avoir accès à la menace. Le sous-ensemble de logiciels malveillants connu sous le nom de chargeurs sont généralement des menaces abandonnées aux premiers stades de la chaîne d'attaque et sont responsables de la récupération puis de l'exécution des charges utiles de l'étape suivante sur les systèmes compromis. En général, Matanbuchus s'en tient à son rôle, ses principales capacités néfastes étant - le lancement de fichiers .exe et .dll en mémoire, l'exécution de commandes PowerShell, l'utilisation de schtasks.exe pour altérer les planifications de tâches et la possibilité de forcer des exécutables autonomes à charger une DLL spécifique.
Vecteur d'attaque initiale
Les chercheurs d'infosec de l'unité 42 de Palo Alto Networks qui ont découvert Matanbuchus ont également pu déterminer les moyens utilisés par les pirates informatiques pour diffuser la menace. Le vecteur initial des attaques est un document leurre Microsoft Excel contenant des macros corrompues. Les acteurs de la menace ont montré une tendance continue à laisser derrière eux les documents Microsoft Word militarisés habituels et à passer aux fichiers Excel. L'explication est assez simple : les caractéristiques intégrées d'Excel permettent aux acteurs de la menace de distribuer leur code corrompu dans les cellules de la feuille de calcul du document, atteignant un niveau d'obscurcissement et rendant l'analyse et la détection beaucoup plus difficiles. Lorsque l'utilisateur exécute le fichier Excel et active ses macros, le codage compromis avec le fichier récupère un fichier DLL nommé « ddg.dll » à partir d'un emplacement spécifique (idea-secure-login[.]com). Le fichier sera alors enregistré sur le système de la victime sous le nom « hcRlCTg.dll ». Il s'agit en fait du fichier DLL du Malware Matanbuchus.
Structure de Matanbuchus Malware
La menace du chargeur se compose de deux fichiers DLL - MatanbuchusDroper.dll et Matanbuchus.dll. Comme son nom l'indique, la fonction principale du premier fichier est de fournir le fichier malveillant principal. Cependant, en outre, il vérifie également l'environnement natif pour les bacs à sable ou les outils de débogage via GetCursorPos, IsProcessorFeaturePresent, cpuid, GetSystemTimeAsFileTime et QueryPerformanceCounter. L'étape suivante consiste à télécharger la DLL principale de Matanbuchus sous le couvert d'un fichier XML nommé « AveBelial.xml ». La menace active un mécanisme de persistance en générant une tâche planifiée pour exécuter le fichier DLL nouvellement déposé.
Matanbuchus tente de mélanger ses fichiers dans le système natif en utilisant des approximations de noms de fichiers système typiques. Par exemple, au lieu du shell32 ou shell64 légitime, la menace nomme son composant principal shell96. Il convient de noter que le fichier Matanbuchus.dll est similaire à l'autre fichier DLL, mais les pirates informatiques ont passé beaucoup plus de temps à l'équiper de techniques d'obscurcissement et de codage supplémentaires pour masquer ses chaînes et son code exécutable.
Les utilisateurs et les organisations doivent garder un œil sur la menace car elle est déjà exploitée dans des campagnes d'attaque à travers le monde. Jusqu'à présent, le Malware Matanbuchus a été déployé contre plusieurs organisations différentes avec une grande université américaine et un lycée ainsi qu'une organisation de haute technologie de Belgique faisant partie des victimes.
