Nel febbraio 2021, BelialDemon ha pubblicizzato un nuovo malware-as-a-service (MaaS) chiamato Matanbuchus Loader, e offerto un prezzo di noleggio iniziale di 2.500 dollari.
Lo hanno reso noto i ricercatori di Unit 42 di Palo Alto Networks, che spesso effettuano indagini su quelle che vengono definite fonti non tradizionali, che possono includere marketplace e siti underground, dai forum su Tor ai canali Telegram e altro.
Uno dei casi recentemente presi in esame riguarda proprio BelialDemon, membro di diversi forum nonché autore riconosciuto di numerose minacce di tipo malware loader.
Quest’ultimi sono software pericolosi che generalmente rilasciano malware di secondo livello dalle infrastrutture di comando e controllo (C2).
In qualità di malware-as-a-Service, Matanbuchus possiede le seguenti capacità:
– Lanciare un file .exe o .dll in memoria
– Sfruttare schtasks.exe per aggiungere o modificare le pianificazioni delle attività
– Avviare comandi PowerShell personalizzati
– Sfruttare un eseguibile standalone per caricare la DLL nel caso in cui l’attaccante non avesse modo di farlo.
Matanbuchus, nome nomen
Numerose organizzazioni sono state colpite da Matanbuchus, tra cui una grande università e una scuola superiore negli Stati Uniti, e un’organizzazione high-tech in Belgio.
Dopo aver osservato BelialDemon operare in forum underground ben conosciuti, il team ha notato un’attinenza con un particolare tema biblico: il nome, Belial, insieme a quello del nuovo loader, Matanbuchus, derivano dall’Ascensione di Isaia, un testo apocrifo dell’Antico Testamento: “E Manasse deviò il suo cuore per servire Belial, l’angelo di illegalità, che è il principe di questo mondo, Belial, il cui nome è Matanbuchus”. Senza dubbio un tema appropriato per le loro operazioni.
Tutti i dettagli sono disponibile sul blog
