Matanbuches Dark-Web'de 2500 $'a Satılan Kötü Amaçlı Yazılım, BeliaDemon Hackers İle Yeniden Ortaya Çıktı

Malware-as-a-Service (MaaS) aracılığıyla karanlık web üzerinden dağıtılan Matanbuches kötü amaçlı yazılımları, artık kötü amaçlı ekler içeren bir spear kimlik avı kampanyasıyla yeniden ortaya çıktı.

Kötü amaçlı yazılımlar, Rusça konuşan bir siber suç yeraltı forumundan faaliyet gösteren BelialDemon tehdit aktörüne atfediliyor ve büyük üniversiteler ve liseler, ayrıca teknoloji kuruluşları da dahil olmak üzere dünyanın dört bir yanındaki farklı kurbanları enfekte etmek için kötü amaçlı yazılımı 2500 dolara satıyor.

Matanbuches yükleyici son zamanlarda base64 ile gömülü kötü amaçlı .HTML eki ile spam kampanyaları aracılığıyla gözlemlenmiştir ve Javascript ve HTML dilinde yazılmıştır.

Kurbanın sisteminde başarılı bir şekilde yürütüldükten sonra, kötü şöhretli kobalt grev işaretçisi yükü de dahil olmak üzere C2 sunucularından ek yükler indirir.

Matanbuches Kötü Amaçlı Yazılımın Yaptıkları

Başlangıçta, spear kimlik avı e-posta kampanyası, kurbanları ikna etmek için Onedrive simgesinin kullanılmasıyla meşru bir taranmış kopya gibi görünen kötü amaçlı bir .HTML Eki ile kurbanlara gönderilir.

İçeride, kötü amaçlı bir ZIP dosyası, Scan-23112 adlı base64 formatındaki Javascript'e gömülüdür .zip dosyaya başarılı bir tıklama üzerine, indirme klasörüne bir ZIP dosyası indirmenize ve Matanbuches kötü amaçlı yazılımını kurbanın sisteminde yürütmenize neden olur.

Daha fazla analiz, bırakılan zip dosyasının içinde paketlenmiş MSI yükleyici dosyasını ortaya çıkarır, ayrıca MSI dosyasının daha sonra iptal edilen bir dijital imzası vardır.

MSI dosyası yürütüldükten sonra, Adobe Front Pack sürümünü yapılandırıyormuş gibi yapar ve sahte bir hata mesajı atar.

Ancak kurbanlar, MSI dosyasının AdobeFontPack klasörünü oluşturduğu ve İki dosyayı bıraktığı arka plan işleminden habersizdi.

MSI dosyası ana .dll yükledikten kısa bir süre sonra, C2 sunucusuyla bir bağlantı kurar ve PowerShell komut dosyalarını yürütme, tuş vuruşlarını günlüğe kaydetme (keylogger), ekran görüntüsü alma, dosya indirme ve diğer yükleri oluşturma gibi istismar sonrası etkinlikleri gerçekleştirecek olan Cobalt Strike Beacon yükü olan başka bir kötü amaçlı yazılım indirir.

Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.