- Pesquisadores de Morphisec avistaram Matanbuchus 3.0 na natureza
- O malware serve como carregador para ataque de cobalto ou ransomware
- As vítimas são abordadas por meio de equipes e solicitadas por accesso remoto
Os pesquisadores de segurança estão alertando sobre uma campanha em andamento que alavancava as chamadas das equipes da Microsoft para implantar um malware chamado Matanbuchus 3.0.
De acordo com a roupa da Cybersec, Morphisec, um grupo de hackers não identificado primeiro escolhe cuidadosamente suas vítimas e depois alcança as equipes da Microsoft, posando como uma equipe de TI externa.
Eles tentam convencer a vítima de que eles têm um problema com o dispositivo e que precisam conceder acesso remoto para corrigir o problema. Como as vítimas são escolhidas por cerejeira, há uma chance maior de sucesso.
Malware caro como serviço
Uma vez que o acesso é concedido, geralmente através de assistência rápida, os invasores executam um script do PowerShell que implanta Matanbuchus 3.0, um carregador de malware que pode levar a beacons de greve de cobalto, ou mesmo ransomware.
“As vítimas são cuidadosamente direcionadas e persuadidas a executar um roteiro que desencadeia o download de um arquivo”, disse Michael Gorelik, CTO Michael Gorelik. “Este arquivo contém um atualizador de notas ++ renomeado (GUP), um arquivo XML de configuração ligeiramente modificado e uma DLL lateral maliciosa representando o carregador Matanbuchus”.
Esse malware foi visto pela primeira vez em 2021, o Hacker News relata, onde os cibercriminosos o anunciaram em fóruns de língua russa por US $ 2.500. Desde então, o malware evoluiu para incluir novos recursos, melhor comunicação, mais furtividade, suporte a CMD e PowerShell e muito mais. Aparentemente, também custa mais, agora com um preço de serviço mensal de US $ 10.000 para a versão HTTPS e US $ 15.000 para a versão DNS.
Embora os pesquisadores não identifiquem os atacantes, eles disseram que táticas semelhantes de engenharia social foram usadas no passado por um grupo chamado Black Basta para implantar ransomware.
No passado, Black Basta era uma das operações de ransomware mais perigosas existentes, mas desde então eliminou lentamente. No final de fevereiro deste ano, um cibercriminal lançou registros de bate -papo que detalhava o funcionamento interno do grupo.
Via The Hacker News
Fique conectado