Sandro Sana : 10 Maggio 2024 08:08
Matanbuchus è un loader di malware, ovvero un programma che scarica ed esegue altri malware sulle macchine infette. Il loader è stato sviluppato da un hacker conosciuto come BelialDemon, che lo vende a un numero limitato di clienti su un forum underground.
Il loader è stato usato in diverse campagne di malspam e di pubblicità ingannevoli per distribuire vari tipi di malware, tra cui ransomware, trojan bancari e backdoor. Una delle principali organizzazioni criminali che usa Matanbuchus è TA577, un affiliato di ransomware noto per aver distribuito QakBot e Cobalt Strike per ottenere l’accesso iniziale e la post-esplorazione delle vittime.
Matanbuchus si distingue per le sue tecniche di ofuscamento e di evasione, che rendono difficile l’analisi del suo codice e delle sue comunicazioni di rete. Tra queste tecniche ci sono:
 Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Inoltre, il loader ha la capacità di ricaricarsi scaricando una nuova versione di sé stesso da un server di comando e controllo (C2), e di chiamare una funzione esportata diversa a seconda del metodo di esecuzione. Il loader può essere lanciato tramite il binario control.exe, che è usato per aprire i file del pannello di controllo (.cpl), o tramite il binario regsvr.exe, che è usato per registrare o deregistrare le librerie dinamiche (.dll).
Analizzando l’infrastruttura di rete usata dal loader, il team di CTI di Intrinsec ha scoperto che il loader si appoggia a due servizi di hosting bulletproof, ovvero servizi che offrono una maggiore tolleranza verso le attività illecite dei loro clienti. Questi servizi sono “Chang Way Technologies Co. Limited” (AS57523), registrato a Hong Kong ma con server in Russia, e “Proton66 OOO” (AS198953), registrato e con server in Russia. Questi servizi ospitano i domini e gli indirizzi IP usati dal loader per comunicare con i server C2 e per scaricare i payload.
Questi servizi ospitano anche altre attività malevole, tra cui il malware SocGholish, che usa pagine web fasulle per indurre gli utenti a scaricare un falso aggiornamento del browser, e varie pagine di phishing che imitano servizi legittimi come UPS, Chronopost e il sistema sanitario francese Ameli. Inoltre, il team di Intrinsec ha trovato che il nome “Mihail Kolesnikov”, usato per registrare alcuni domini usati da Matanbuchus, è stato usato anche per registrare altri domini legati a diverse minacce, tra cui il ransomware Snatch, il ransomware Hunters International e il malware ICEDID.
Seguendo le attività di questo nome, il team di Intrinsec ha potuto anticipare la creazione di nuovi domini usati per le campagne di Matanbuchus e altre minacce. Bloccando i range di IP appartenenti a questi servizi di hosting bulletproof, si può prevenire l’accesso iniziale e le successive fasi di un’intrusione.
Matanbuchus è un loader di malware molto sofisticato e pericoloso, che può infettare le macchine con diversi tipi di malware, tra cui alcuni molto dannosi come il ransomware. Il loader è anche legato a Cobalt Strike, uno strumento di attacco usato dai criminali per eseguire operazioni avanzate di post-esplorazione e di movimento laterale.
Il loader si appoggia a servizi di hosting bulletproof che lo proteggono dalle azioni delle autorità e dei ricercatori di sicurezza. Per contrastare questa minaccia, è necessario monitorare le sue attività, bloccare le sue comunicazioni e rafforzare le difese delle proprie reti.
Sandro SanaDalle fragilità del WEP ai progressi del WPA3, la sicurezza delle reti Wi-Fi ha compiuto un lungo percorso. Oggi, le reti autodifensive rappresentano la nuova frontiera: sistemi intelligenti capaci d...
Siamo ossessionati da firewall e crittografia. Investiamo miliardi in fortezze digitali, ma le statistiche sono inesorabili: la maggior parte degli attacchi cyber non inizia con un difetto nel codice,...
Un raro ritrovamento risalente ai primi giorni di Unix potrebbe riportare i ricercatori alle origini stesse del sistema operativo. Un nastro magnetico etichettato “UNIX Original From Bell Labs V4 (V...
Il 9 novembre ha segnato il 21° anniversario di Firefox 1.0. Nel 2004, è stata la prima versione stabile del nuovo browser di Mozilla, che si è subito posizionato come un’alternativa semplice e s...
Era tempo che l’Italia aspettasse un segnale chiaro nel campo della sovranità digitale. L’unione di due giganti come TIM e Poste Italiane non rappresenta una semplice partnership commerciale, ma ...
