Malware Matanbuchus 3.0
Matanbuchus je nechvalně známá platforma Malware-as-a-Service, která je navržena k poskytování dalších škodlivých kódů, jako jsou například signály Cobalt Strike a ransomware. Malware, který byl poprvé propagován v únoru 2021 na rusky mluvících fórech za 2 500 dolarů, se rychle stal oblíbenou volbou hackerů. Útočníci jej používají v kampaních ve stylu ClickFix, kde klamou uživatele prostřednictvím legitimních, ale napadených webových stránek.
Obsah
Taktiky doručování a vyvíjející se vektory hrozeb
Techniky distribuce malwaru se staly stále sofistikovanějšími. Počáteční kampaně se silně spoléhaly na phishingové e-maily, které oběti směrovaly na škodlivé odkazy na Disk Google. Postupem času útočníci rozšířili svůj arzenál a zahrnuli:
- Stahování dat z napadených webů pomocí automatických souborů
- Škodlivé instalační programy MSI
- Škodlivé reklamní kampaně
Bylo pozorováno, že Matanbuchus nasazoval sekundární škodlivé programy, jako jsou DanaBot, QakBot a Cobalt Strike, které se často používají jako odrazový můstek k infekcím ransomwarem.
Matanbuchus 3.0: Pokročilé možnosti a funkce
Nejnovější verze, Matanbuchus 3.0, přináší podstatná vylepšení pro zlepšení nenápadnosti a vytrvalosti. Mezi klíčová vylepšení patří:
- Pokročilé techniky komunikačních protokolů
- Spuštění v paměti pro nenápadné účely
- Vylepšené zmatení pro zamezení odhalení
- Podpora reverzního shellu přes CMD a PowerShell
- Možnost spouštět DLL, EXE a shellcode datové části
Tento vývoj podtrhuje roli malwaru v usnadňování pokročilých, vícestupňových útoků.
Zneužívání v reálném světě: Sociální inženýrství prostřednictvím Microsoft Teams
Výzkumníci odhalili kampaň z července 2025 zaměřenou na nejmenovanou společnost. Útočníci se během externích hovorů přes Microsoft Teams vydávali za pracovníky IT helpdesku a přesvědčovali zaměstnance, aby spustili Quick Assist pro vzdálený přístup. To jim umožnilo spustit PowerShellový skript, který nasadil Matanbuchus.
Takové taktiky odrážejí metody sociálního inženýrství, které byly dříve spojovány s ransomwarovou skupinou Black Basta, což naznačuje rostoucí překrývání mezi zaváděcími a ransomwarovými operacemi.
Pod pokličkou: Řetězec infekce a perzistence
Jakmile oběť spustí poskytnutý skript, stáhne se archiv. Uvnitř se nachází:
- Přejmenovaný aktualizátor Notepad++ (GUP)
- Upravený konfigurační soubor XML
- Škodlivá knihovna DLL představující zavaděč
Po spuštění Matanbuchus shromažďuje systémová data, kontroluje bezpečnostní nástroje a potvrzuje úrovně oprávnění, než odešle podrobnosti na svůj server Command-and-Control (C2). Další datové části jsou poté doručovány jako balíčky MSI nebo spustitelné soubory. Perzistence je dosažena vytvářením plánovaných úloh pomocí objektů COM a vkládáním shellcode, což je technika, která spojuje jednoduchost a sofistikovanost.
Nenápadnost a kontrola: Proč je to nebezpečné
Zavaděč podporuje pokročilé funkce, včetně dotazů WQL a vzdálených příkazů pro shromažďování podrobností o procesech, službách a nainstalovaných aplikacích. Dokáže spouštět systémové příkazy, jako jsou regsvr32, rundll32, msiexec, a dokonce provádět i „process hollowing“, což zdůrazňuje jeho flexibilitu.
Stanovení cen a obchodní model skrytý za hrozbou
Tato platforma MaaS zaznamenala prudký nárůst cen díky své sadě funkcí:
- 10 000 USD/měsíc za verzi HTTPS
- 15 000 USD/měsíc za verzi DNS
Tyto náklady odrážejí efektivitu a poptávku po malwaru v ekosystému kybernetické kriminality.
Matanbuchus a širší pohled na vývoj MaaS
Nejnovější verze ztělesňuje trend skrytých zavaděčů využívajících LOLBiny, únosy COM a stagery PowerShellu, aby zůstaly nedetekovány. Zneužívání nástrojů pro spolupráci, jako jsou Microsoft Teams a Zoom, dále komplikuje podnikovou bezpečnost. Výzkumníci zdůrazňují integraci detekce zavaděčů do správy povrchů útoků, protože se tyto hrozby neustále vyvíjejí.
