- Peneliti dari Morphisec melihat Matanbuchus 3.0 di alam liar
- Malware berfungsi sebagai loader untuk pemogokan kobalt atau ransomware
- Para korban didekati melalui tim dan meminta aksus jarak jauh
Peneliti keamanan memperingatkan tentang kampanye yang sedang berlangsung yang memanfaatkan panggilan tim Microsoft untuk menggunakan sepotong malware yang disebut Matanbuchus 3.0.
Sesuai pakaian Cybersec Morphisec, kelompok peretasan yang tidak dikenal terlebih dahulu memilih korbannya, dan kemudian menjangkau melalui tim Microsoft, menyamar sebagai tim TI eksternal.
Mereka mencoba membujuk korban bahwa mereka memiliki masalah dengan perangkat mereka dan bahwa mereka perlu memberikan akses jarak jauh untuk memperbaiki masalah. Karena para korban dipetik ceri, ada peluang sukses yang lebih tinggi.
Malware yang mahal sebagai layanan
Setelah akses diberikan, biasanya melalui bantuan cepat, para penyerang menjalankan skrip PowerShell yang menggunakan Matanbuchus 3.0, pemuat malware yang dapat menyebabkan suar Cobalt Strike, atau bahkan ransomware.
“Para korban ditargetkan dengan cermat dan dibujuk untuk menjalankan skrip yang memicu pengunduhan arsip,” kata Morphisec CTO Michael Gorelik. “Arsip ini berisi Note pad ++ Updater (GUP) yang diganti namanya, documents XML konfigurasi yang sedikit dimodifikasi, dan DLL yang dimuat sisi berbahaya yang mewakili matanbuchus loader.”
Malware ini pertama kali terlihat pada tahun 2021, The Hacker News melaporkan, di mana penjahat cyber mengiklankannya di forum berbahasa Rusia seharga $ 2 500 Sejak itu, malware telah berevolusi untuk memasukkan fitur -fitur baru, komunikasi yang lebih baik, lebih stealth, dukungan CMD dan PowerShell, dan banyak lagi. Tampaknya juga lebih mahal, sekarang memiliki harga layanan bulanan $ 10 000 untuk versi HTTPS dan $ 15 000 untuk versi DNS.
Sementara para peneliti tidak mengidentifikasi para penyerang, mereka mengatakan bahwa taktik rekayasa sosial yang serupa digunakan di masa lalu oleh kelompok yang disebut Black Basta untuk menggunakan ransomware.
Di masa lalu, Black Basta adalah salah satu operasi ransomware paling berbahaya yang ada, tetapi sejak itu perlahan -lahan menghapus. Pada akhir Februari tahun ini, cyber criminal merilis log obrolan yang merinci cara kerja dalam grup.
Melalui Berita peretas
