برنامج Matanbuchus 3.0 الخبيث

ماتانبوتشوس منصة سيئة السمعة للبرمجيات الخبيثة كخدمة، مصممة لتوفير حمولات متطورة، مثل منارات كوبالت سترايك وبرامج الفدية. رُوّج لهذه البرمجية الخبيثة لأول مرة في فبراير 2021 في المنتديات الناطقة بالروسية مقابل 2500 دولار أمريكي، وسرعان ما أصبحت الخيار الأمثل للجهات التخريبية. استخدمها المهاجمون في حملات شبيهة بحملات ClickFix، حيث خدعوا المستخدمين عبر مواقع ويب شرعية ولكنها مخترقة.

تكتيكات التسليم وناقلات التهديد المتطورة

أصبحت أساليب توزيع البرامج الضارة أكثر تعقيدًا. اعتمدت الحملات الأولية بشكل كبير على رسائل التصيد الاحتيالي التي تُوجّه الضحايا إلى روابط جوجل درايف الخبيثة. مع مرور الوقت، وسّع المهاجمون ترسانتهم لتشمل:

• التنزيلات غير المقصودة من المواقع المخترقة
• مثبتات MSI الضارة
• حملات الإعلانات الخبيثة

لقد تم ملاحظة قيام Matanbuchus بنشر حمولات ثانوية مثل DanaBot و QakBot و Cobalt Strike، والتي غالبًا ما تُستخدم كحجر أساس لإصابات برامج الفدية.

Matanbuchus 3.0: القدرات والميزات المتقدمة

يُقدّم الإصدار الأحدث، Matanbuchus 3.0، تحسينات جوهرية لتحسين التخفي والاستمرارية. تشمل الترقيات الرئيسية ما يلي:

• تقنيات بروتوكول الاتصالات المتقدمة
• التنفيذ في الذاكرة للتخفي
• تعزيز التعتيم لتجنب الكشف
• دعم الغلاف العكسي عبر CMD وPowerShell
• القدرة على تشغيل حمولات DLL و EXE و shellcode

ويؤكد هذا التطور على دور البرمجيات الخبيثة في تسهيل الهجمات المتقدمة متعددة المراحل.

الاستغلال في العالم الحقيقي: الهندسة الاجتماعية عبر Microsoft Teams

كشف باحثون عن حملة في يوليو 2025 استهدفت شركة لم يُكشف عن هويتها. انتحل المهاجمون صفة موظفي دعم تكنولوجيا المعلومات أثناء مكالمات خارجية عبر Microsoft Teams، وأقنعوا الموظفين بتشغيل Quick Assist للوصول عن بُعد. سمح لهم ذلك بتنفيذ نص برمجي PowerShell باستخدام Matanbuchus.

تعكس مثل هذه التكتيكات أساليب الهندسة الاجتماعية المرتبطة سابقًا بمجموعة برامج الفدية Black Basta، مما يشير إلى تداخل متزايد بين عمليات التحميل وبرامج الفدية.

تحت الغطاء: سلسلة العدوى والاستمرار

بمجرد تشغيل البرنامج النصي المُقدّم، يتم تنزيل ملف أرشيف. يحتوي الملف على:

• مُحدِّث Notepad++ المُعاد تسميته (GUP)
• ملف تكوين XML المعدل
• ملف DLL ضار يمثل المحمل

بعد التنفيذ، يجمع ماتانبوتشوس بيانات النظام، ويتحقق من أدوات الأمان، ويؤكد مستويات الصلاحيات قبل إرسال التفاصيل إلى خادم القيادة والتحكم (C2). ثم تُرسل الحمولات الإضافية كحزم MSI أو ملفات قابلة للتنفيذ. يتحقق الثبات بإنشاء مهام مجدولة باستخدام كائنات COM وحقن شفرة shellcode، وهي تقنية تجمع بين البساطة والتعقيد.

التخفي والتحكم: لماذا هو خطير؟

يدعم المُحمِّل ميزات متقدمة، بما في ذلك استعلامات WQL والأوامر عن بُعد لجمع تفاصيل العمليات والخدمات والتطبيقات المُثبّتة. كما يُمكنه تنفيذ أوامر النظام مثل regsvr32 وrundll32 وmsiexec، وحتى تفريغ العمليات، مما يُبرز مرونته.

التسعير ونموذج العمل وراء التهديد

شهدت منصة MaaS هذه ارتفاعًا هائلاً في أسعارها بفضل مجموعة الميزات التي تقدمها:

• 10000 دولار شهريًا لإصدار HTTPS
• 15000 دولار شهريًا لإصدار DNS

تعكس هذه التكاليف مدى فعالية البرمجيات الخبيثة والطلب عليها في منظومة الجرائم الإلكترونية.

ماتانبوتشوس والصورة الأكبر لتطور MaaS

يُجسّد الإصدار الأحدث التوجه نحو برامج التحميل التي تُركّز على التخفي، مستغلةً LOLBins، واختطاف COM، وأدوات PowerShell المُعدّلة لتظلّ مخفية. كما يُعقّد إساءة استخدام أدوات التعاون مثل Microsoft Teams وZoom أمن المؤسسات. يُشدّد الباحثون على أهمية دمج كشف برامج التحميل في إدارة سطح الهجوم مع استمرار تطوّر هذه التهديدات.