Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós Programari maliciós Matanbuchus 3.0

Programari maliciós Matanbuchus 3.0

El Mezo el Programari maliciós
Traduir a:

Matanbuchus és una coneguda plataforma de programari maliciós com a servei dissenyada per oferir càrregues útils de nova generació com ara balises Cobalt Strike i ransomware. Promocionat per primera vegada el febrer de 2021 en fòrums de parla russa per 2.500 dòlars, el programari maliciós es va convertir ràpidament en una opció preferida pels actors d'amenaces. Els atacants l'han utilitzat en campanyes d'estil ClickFix, enganyant els usuaris a través de llocs web legítims però compromesos.

Tàctiques de lliurament i vectors d’amenaces en evolució

Les tècniques de distribució del programari maliciós s'han tornat cada cop més sofisticades. Les campanyes inicials es basaven en gran mesura en correus electrònics de phishing que dirigien les víctimes a enllaços maliciosos de Google Drive. Amb el temps, els atacants van ampliar el seu arsenal per incloure:

  • Descàrregues automàtiques des de llocs compromesos
  • Instal·ladors MSI maliciosos
  • Campanyes de publicitat maliciosa

S'ha observat que Matanbuchus desplega càrregues útils secundàries com DanaBot, QakBot i Cobalt Strike, que sovint s'utilitzen com a trampolins per a infeccions de ransomware.

Matanbuchus 3.0: Capacitats i característiques avançades

La darrera versió, Matanbuchus 3.0, introdueix millores substancials per millorar la sigil·losi i la persistència. Les millores clau inclouen:

  • Tècniques avançades de protocols de comunicació
  • Execució en memòria per a l'amagat
  • Ofuscació millorada per evitar la detecció
  • Suport de shell invers mitjançant CMD i PowerShell
  • Capacitat per iniciar càrregues útils DLL, EXE i shellcode

Aquesta evolució subratlla el paper del programari maliciós en la facilitació d'atacs avançats i de diverses etapes.

Explotació del món real: enginyeria social a través de Microsoft Teams

Uns investigadors van descobrir una campanya del juliol de 2025 dirigida a una empresa anònima. Els atacants es van fer passar per personal del servei d'assistència informàtica durant trucades externes de Microsoft Teams, persuadint els empleats perquè iniciessin Quick Assist per a l'accés remot. Això els va permetre executar un script de PowerShell que implementava Matanbuchus.

Aquestes tàctiques reflecteixen mètodes d'enginyeria social anteriorment vinculats al grup de ransomware Black Basta, cosa que indica una creixent superposició entre les operacions del carregador i del ransomware.

Sota el capó: cadena d’infecció i persistència

Un cop les víctimes executen l'script proporcionat, es descarrega un arxiu. A dins hi ha:

  • Un actualitzador de Notepad++ (GUP) rebatejat
  • Un fitxer de configuració XML modificat
  • Una DLL maliciosa que representa el carregador

Després de l'execució, Matanbuchus recopila dades del sistema, comprova les eines de seguretat i confirma els nivells de privilegis abans de transmetre els detalls al seu servidor de comandament i control (C2). A continuació, es lliuren càrregues útils addicionals com a paquets MSI o executables. La persistència s'aconsegueix creant tasques programades mitjançant objectes COM i injectant codi shell, una tècnica que combina simplicitat i sofisticació.

Furt i control: per què és perillós

El carregador admet funcions avançades, com ara consultes WQL i ordres remotes per recopilar detalls sobre processos, serveis i aplicacions instal·lades. Pot executar ordres de sistema com ara regsvr32, rundll32, msiexec, i fins i tot realitzar buidatge de processos, cosa que destaca la seva flexibilitat.

Preus i model de negoci darrere de l'amenaça

Aquesta plataforma MaaS ha vist com els seus preus s'han disparat amb el seu conjunt de funcions:

  • 10.000 dòlars/mes per a la versió HTTPS
  • 15.000 dòlars/mes per la versió DNS

Aquests costos reflecteixen l'eficàcia i la demanda del programari maliciós en l'ecosistema de ciberdelinqüència.

Matanbuchus i la visió general de l’evolució de MaaS

La darrera versió resumeix la tendència cap als carregadors furtius que aprofiten LOLBins, el segrest de COM i els stagers de PowerShell per passar desapercebuts. El seu abús d'eines de col·laboració com Microsoft Teams i Zoom complica encara més la seguretat empresarial. Els investigadors emfatitzen la integració de la detecció dels carregadors en la gestió de la superfície d'atac a mesura que aquestes amenaces continuen evolucionant.

Tendència

Més vist

Carregant...