Matsnu

¿Qué es?

Matsnu es un malware de tipo troyano backdoor con capacidades de inyector y de downloader, que se enfoca en infectar dispositivos Windows para proporcionar una puerta trasera a los atacantes con la que incluir el dispositivo como parte de una botnet, tomar el control y realizar actividades maliciosas.

¿Qué hace?

Este malware, una vez se instala en el equipo, tiene capacidad para realizar las siguientes acciones:

• Accede a la información del dispositivo infectado y la verifica para evitar su ejecución en entornos de depuración (no ejecución real).
• Se comunica con sus servidores de mando y control (C2) mediante un algoritmo de generación de dominios (DGA) para evitar su detección y posibles bloqueos.
• Recopila información confidencial del dispositivo infectado, como credenciales o datos bancarios, y la exfiltra mediante cifrado RSA hacia los servidores de mando y control (C2).
• Realiza operaciones de asignación y desasignación de memoria para realizar técnicas de descompresión y evadir medidas antimalware.
• Permite inyectarse e inyectar otras muestras de malware en las aplicaciones del dispositivo infectado sin que se verifique su legitimidad y sin el conocimiento del usuario.
• Crea claves de registro en el sistema del dispositivo afectado para crear persistencia.
• Realiza conexiones con sitios no legítimos y descarga otros ficheros y programas maliciosos.

Sistemas afectados

Los principales dispositivos afectados son:

• Sistemas con Microsoft Windows.

¿Cómo me infecta?

Este malware infecta a los dispositivos a través de la descarga de adjuntos en correos de phishing y de archivos maliciosos de Internet y a través de la instalación de programas pirateados que se obtienen de sitios no legítimos.

Cómo desinfectar mi equipo

Las principales firmas de antivirus contienen reglas para detectar y eliminar este malware: accede a los cleaners.

Más información

• Matsnu Backdoor Uses RSA Crypto on Exfiltrated Data
• MATSNU (Check Point)
• MATSNU (Malpedia)