Molte organizzazioni sono state colpite dal nuovo malware-as-a-service Matanbuchus diffuso da un autore denominato BelialDemon.

malware-as-a-service

I ricercatori di Unit 42 di Palo Alto Networks spesso effettuano indagini su quelle che vengono definite fonti non tradizionali, che possono includere marketplace e siti underground, dai forum su Tor ai canali Telegram e altro. Uno dei casi recentemente presi in esame riguarda un autore di minacce chiamato BelialDemon, membro di diversi forum e che ha pubblicizzato un nuovo malware-as-a-service.

Questo malware-as-a-service pubblicizzato nel febbraio 2021 da BelialDemon è chiamato Matanbuchus Loader. I malware loader sono software pericolosi che generalmente rilasciano malware di secondo livello dalle infrastrutture di comando e controllo (C2).

Il malware-as-a-service Matanbuchus possiede le seguenti capacità:

  • Lanciare un file .exe o .dll in memoria;
  • Sfruttare schtasks.exe per aggiungere o modificare le pianificazioni delle attività;
  • Avviare comandi PowerShell personalizzati;
  • Sfruttare un eseguibile standalone per caricare la DLL nel caso in cui l’attaccante non avesse modo di farlo.

Numerose organizzazioni sono state colpite dal malware-as-a-service Matanbuchus, tra cui una grande università e una scuola superiore negli Stati Uniti, e un’organizzazione high-tech in Belgio.

Dopo aver osservato BelialDemon operare in forum underground ben conosciuti, il team ha notato un’attinenza con un particolare tema biblico: il nome, Belial, insieme a quello del nuovo loader, Matanbuchus, derivano dall’Ascensione di Isaia, un testo apocrifo dell’Antico Testamento: “E Manasse deviò il suo cuore per servire Belial, l’angelo di illegalità, che è il principe di questo mondo, Belial, il cui nome è Matanbuchus“. Senza dubbio un tema appropriato per le loro operazioni.

Tutti i dettagli sul malware-as-a-service sono disponibili sul blog.