Оферта за отстъпка за множество лицензи
База данни за заплахи Зловреден софтуер Зловреден софтуер Matanbuchus 3.0

Зловреден софтуер Matanbuchus 3.0

До Mezo през Зловреден софтуерг
Превод на:

Matanbuchus е известна платформа „Malware-as-a-Service“, предназначена да доставя полезни товари от следващо ниво, като например маяци Cobalt Strike и рансъмуер. Рекламиран за първи път през февруари 2021 г. в рускоезични форуми за 2500 долара, зловредният софтуер бързо се превърна в предпочитан избор за хакерите. Нападателите го използват в кампании в стил ClickFix, подвеждайки потребителите чрез легитимни, но компрометирани уебсайтове.

Тактики за доставка и развиващи се вектори на заплахи

Техниките за разпространение на зловредния софтуер стават все по-сложни. Първоначалните кампании разчитаха предимно на фишинг имейли, насочващи жертвите към злонамерени връзки към Google Диск. С течение на времето нападателите разшириха арсенала си, за да включат:

  • Изтегляния от компрометирани сайтове
  • Злонамерени MSI инсталатори
  • Кампании за злонамерена реклама

Наблюдавано е, че Matanbuchus използва вторични полезни товари като DanaBot, QakBot и Cobalt Strike, които често се използват като стъпка към инфекции с ransomware.

Matanbuchus 3.0: Разширени възможности и функции

Най-новата версия, Matanbuchus 3.0, въвежда съществени подобрения за подобряване на скритността и постоянството. Ключовите подобрения включват:

  • Усъвършенствани техники за комуникационни протоколи
  • Изпълнение в паметта за скритост
  • Подобрено обфускация, за да се избегне откриването
  • Поддръжка на обратна обвивка чрез CMD и PowerShell
  • Възможност за стартиране на DLL, EXE и shellcode полезни товари

Тази еволюция подчертава ролята на зловредния софтуер в улесняването на напреднали, многоетапни атаки.

Експлоатация в реалния свят: Социално инженерство чрез Microsoft Teams

Изследователи разкриха кампания от юли 2025 г., насочена към неназована компания. Нападателите се представяха за служители на ИТ отдела за поддръжка по време на външни разговори в Microsoft Teams, убеждавайки служителите да стартират Quick Assist за отдалечен достъп. Това им позволи да изпълнят PowerShell скрипт, внедряващ Matanbuchus.

Подобни тактики отразяват методите на социалното инженерство, свързани преди това с групата за рансъмуер Black Basta, което показва нарастващо припокриване между операциите по зареждане и рансъмуер.

Под капака: Верига на инфекцията и персистиране

След като жертвите стартират предоставения скрипт, се изтегля архив. Вътре се намират:

  • Преименуван актуализатор на Notepad++ (GUP)
  • Модифициран XML конфигурационен файл
  • Злонамерен DLL файл, представляващ зареждащия файл

След изпълнение, Matanbuchus събира системни данни, проверява за инструменти за сигурност и потвърждава нивата на привилегии, преди да предаде подробности към своя Command-and-Control (C2) сървър. Допълнителни полезни товари се доставят като MSI пакети или изпълними файлове. Устойчивостта се постига чрез създаване на планирани задачи с помощта на COM обекти и инжектиране на шелкод, техника, която съчетава простота и изтънченост.

Стелт и контрол: Защо е опасно

Зареждащият инструмент поддържа разширени функции, включително WQL заявки и отдалечени команди за събиране на подробности за процеси, услуги и инсталирани приложения. Той може да изпълнява системни команди като regsvr32, rundll32, msiexec и дори да извършва „изпразване“ на процеси, което подчертава неговата гъвкавост.

Ценообразуването и бизнес моделът зад заплахата

Тази MaaS платформа отбеляза рязко покачване на цените си заради набора от функции:

  • 10 000 долара/месец за HTTPS версията
  • 15 000 долара/месец за DNS версията

Тези разходи отразяват ефективността и търсенето на зловредния софтуер в екосистемата на киберпрестъпността.

Матанбухус и по-голямата картина на еволюцията на MaaS

Най-новата версия олицетворява тенденцията към скрити зареждащи програми, използващи LOLBins, COM hijacking и PowerShell stagers, за да останат неоткрити. Злоупотребата с инструменти за сътрудничество като Microsoft Teams и Zoom допълнително усложнява корпоративната сигурност. Изследователите наблягат на интегрирането на откриването на зареждащи програми в управлението на повърхността на атаката, тъй като тези заплахи продължават да се развиват.

Тенденция

Паролата за акаунт е стара - имейл измама

Фишинг, Спам
Измамниците продължават да създават подвеждащи имейл кампании, за да подведат нищо неподозиращи потребители да предоставят чувствителна информация. Една такава измама, която се разпространява в момента, е имейл измамата „Спешно предупреждение за сигурност“, по-специално под прикритието на съобщение, озаглавено „Паролата за акаунта е стара“. Въпреки че на пръв поглед изглеждат легитимни, тези...

Най-гледан

Зловреден софтуер

Фишинг, Спам
35,753
Съобщението за измама „Apple Pay Suspended“ е вид фишинг тактика, насочена към потребителите на Apple Pay. Съобщението твърди, че портфейлът на Apple Pay на потребителя е спрян и ги призовава да кликнат върху връзка, за да го възстановят. Щракването върху връзката обаче ще отведе потребителя до фалшив уебсайт, който е предназначен да открадне тяхната лична и финансова информация. Ако потребител...
Зареждане...