通过恶意软件即服务(MaaS)在暗网上传播的Matanbuches恶意软件现在通过带有恶意附件的鱼叉式网络钓鱼活动重新出现了。
恶意软件被认为是BelialDemon威胁行为者所为,他在讲俄语的暗网网络犯罪论坛和暗网市场上运作,并以2500美元的价格出售该恶意软件,以感染全球不同的受害者,包括大型大学和高中,以及科技组织。
最近通过垃圾邮件活动观察到Matanbuches加载程序,其中包含嵌入base64的恶意.HTML附件,并且是用Javascript和HTML语言编写的。
在受害者系统上成功执行后,它会从C2服务器下载额外的有效载荷,包括臭名昭著的Cobalt Strike Beacon有效载荷。
最初,鱼叉式网络钓鱼电子邮件活动通过恶意.HTML附件发送给受害者,该附件伪装成合法的扫描副本,并使用Onedrive图标来说服受害者。
CYFIRMA的研究人员称“该电子邮件包含一个.HTML格式的恶意附件,该附件嵌入了base64,执行时会删除一个zip文件。点击HTML附件后,它就会丢出一个压缩档案文件,这个压缩文件包含一个MSI文件。在执行MSI文件时,它向用户显示虚假的Adobe错误信息,同时在后台执行恶意的dll文件…”
在内部,一个恶意的ZIP文件已经嵌入了base64格式的Javascript,名为Scan-23112.zip,在成功点击该文件后,导致在下载文件夹中投放一个ZIP文件,并在受害者的系统中执行Matanbuches恶意软件。
进一步的分析显示,MSI安装程序文件已被打包在所投放的ZIP文件内,同时MSI文件有一个数字签名,后来被撤销。
在执行MSI文件时,它假装配置了Adobe Front Pack的版本,并抛出一个假的错误信息。
但受害者并不知道MSI文件创建AdobeFontPack文件夹并生成了两个文件的后台进程。
在MSI文件加载main.dll后不久,它就与C2服务器建立了连接,并下载了另一个恶意软件,即Cobalt Strike Beacon有效载荷,它将执行开发后的活动,如执行PowerShell脚本、记录击键、截图、下载文件,并并产生其他有效载荷。