Detección de Malware Matanbuchus: Nueva Campaña de Malspam Distribuye Cargador de Malware y Cobalt Strike

Matanbuchus surgió por primera vez a principios de 2021 como un proyecto de malware como servicio (MaaS) a un precio de alquiler de $2,500. Matanbuchus es un cargador que utiliza dos DLL durante el ciclo de ejecución del malware. Este año, el malware se entrega en ataques de phishing dirigidos a desplegar balizas de Cobalt Strike.

Detectar Malware Matanbuchus

Para una detección eficiente del malware Matanbuchus, use un conjunto de reglas Sigma a continuación desarrolladas por los talentosos miembros del Programa de Recompensas de Amenazas de SOC Prime, Sittikorn Sangrattanapitak and Emir Erdogan, para rastrear oportunamente una actividad sospechosa relevante en su sistema:

Detección de Malware Matanbuchus a través de process_creation

Posible Detección de Malware como Servicio Matanbuchus mediante Creación de Tareas (a través de process_creation)

Estas detecciones se pueden usar en más de 23 plataformas SIEM, EDR y XDR, alineadas con el marco MITRE ATT&CK® v.10, abordando las tácticas de Evasión de Defensa y Ejecución con Ejecución de Proxy Binario Firmado (T1218) y Tarea/Trabajo Programado (T1053) como las técnicas principales.

Los expertos en ciberseguridad son más que bienvenidos a unirse al Programa de Recompensas de Amenazas para compartir sus reglas Sigma con la comunidad y obtener recompensas recurrentes.

Siga las actualizaciones del contenido de detección relacionado con el malware Matanbuchus en el repositorio de Threat Detection Marketplace de la Plataforma SOC Prime pulsando el botón Detectar & Cazar . La biblioteca de contenido de detección de SOC Prime se actualiza constantemente con nuevo contenido, potenciado por el enfoque colaborativo de defensa cibernética y habilitado por el modelo Follow the Sun (FTS) para garantizar la entrega oportuna de detecciones para amenazas críticas. ¿Esforzándose por mantenerse al día con las últimas tendencias que dan forma al panorama actual de amenazas cibernéticas y sumergirse en el contexto de amenazas relevante? ¡Pruebe el Motor de Búsqueda de SOC Prime! Presione el Explorar Contexto de Amenaza para navegar instantáneamente por el grupo de principales amenazas y reglas Sigma recién lanzadas, explorando información contextual relevante en un solo lugar.

Detectar & Cazar Explorar Contexto de Amenaza

Campaña de Malspam de Matanbuchus

Los investigadores deLos investigadores de

publicaron una investigación en el verano de 2021 que describe el cargador Matanbuchus, identificando sus características de la siguiente manera: capacidad de lanzar archivos .dll y .exe y comandos personalizados de PowerShell, el abuso de schtasks.exe y ejecutables independientes.

El elaborado proyecto MaaS resurgió este año, distribuyendo el malware a través de una campaña de malspam que atrae a las víctimas a reaccionar ante conversaciones de correo electrónico falsas iniciadas que contienen un ‘Re:’ en la línea de asunto. Los correos electrónicos incluyen un archivo ZIP con un archivo HTML que crea un archivo ZIP adicional. Extrae un paquete MSI, firmado digitalmente con un certificado legítimo de DigiCert para «Westeast Tech Consulting, Corp.» Este ataque de malspam entrega el malware Matanbuchus. Qakbot desplegado también.

Nunca falte un ritmo operando en un entorno acelerado de riesgos de ciberseguridad y obtenga las mejores soluciones de mitigación con SOC Prime – Únase a la Detección como Código plataforma para desbloquear acceso al mayor grupo de contenido de detección creado por expertos de campo reputados.