Monen lisenssin alennustarjous
Uhatietokanta Haittaohjelma Matanbuchus 3.0 -haittaohjelma

Matanbuchus 3.0 -haittaohjelma

Vuonna Mezo vuonna Haittaohjelma
Käännä:

Matanbuchus on pahamaineinen Malware-as-a-Service -alusta, joka on suunniteltu toimittamaan seuraavan vaiheen hyötyohjelmia, kuten Cobalt Strike -hätäviestejä ja kiristysohjelmia. Haittaohjelmaa mainostettiin ensimmäisen kerran helmikuussa 2021 venäjänkielisillä foorumeilla 2 500 dollarilla, ja siitä tuli nopeasti uhkatoimijoiden ensisijainen valinta. Hyökkääjät ovat käyttäneet sitä ClickFix-tyyppisissä kampanjoissa huijatakseen käyttäjiä laillisten mutta vaarantuneiden verkkosivustojen kautta.

Toimitustaktiikat ja kehittyvät uhkavektorit

Haittaohjelman levitystekniikat ovat kehittyneet yhä hienostuneemmiksi. Alkuperäiset kampanjat perustuivat vahvasti tietojenkalasteluviesteihin, jotka ohjasivat uhrit haitallisiin Google Drive -linkkeihin. Ajan myötä hyökkääjät laajensivat arsenaaliaan kattamaan myös:

  • Ohilataukset vaarantuneilta sivustoilta
  • Haitalliset MSI-asennusohjelmat
  • Haittamainontakampanjat

Matanbuchuksen on havaittu käyttävän toissijaisia hyötykuormia, kuten DanaBotia, QakBotia ja Cobalt Strikea, joita käytetään usein kiristyshaittaohjelmatartuntojen välietappina.

Matanbuchus 3.0: Edistyneet ominaisuudet ja ominaisuudet

Uusin versio, Matanbuchus 3.0, tuo mukanaan merkittäviä parannuksia piilotuksen ja pysyvyyden parantamiseksi. Tärkeimpiä päivityksiä ovat:

  • Edistyneet viestintäprotokollatekniikat
  • Muistissa suoritettava hiiviskely
  • Parannettu hämärtäminen havaitsemisen välttämiseksi
  • Käänteinen shell-tuki CMD:n ja PowerShellin kautta
  • Mahdollisuus käynnistää DLL-, EXE- ja shellcode-hyötykuormia

Tämä kehitys korostaa haittaohjelmien roolia edistyneiden, monivaiheisten hyökkäysten helpottamisessa.

Todellisen maailman hyväksikäyttö: Sosiaalinen manipulointi Microsoft Teamsin kautta

Tutkijat paljastivat heinäkuussa 2025 tapahtuneen kampanjan, jonka kohteena oli nimeämätön yritys. Hyökkääjät esiintyivät IT-tukipalvelun henkilöstönä ulkoisten Microsoft Teams -puheluiden aikana ja suostuttelivat työntekijöitä käynnistämään Quick Assistin etäkäyttöä varten. Tämä mahdollisti heille PowerShell-komentosarjan suorittamisen, joka otti käyttöön Matanbuchuksen.

Tällaiset taktiikat heijastelevat aiemmin Black Basta -kiristysohjelmaryhmään yhdistettyjä sosiaalisen manipuloinnin menetelmiä, mikä viittaa kasvavaan päällekkäisyyteen lataajan ja kiristysohjelmatoimintojen välillä.

Konepellin alla: Tartuntaketju ja pysyvyys

Kun uhrit suorittavat annetun komentosarjan, arkisto ladataan. Sen sisällä on:

  • Uudelleennimetty Notepad++-päivitysohjelma (GUP)
  • Muokattu XML-määritystiedosto
  • Haitallinen DLL-tiedosto, joka edustaa latausohjelmaa

Suorittamisen jälkeen Matanbuchus kerää järjestelmätietoja, tarkistaa tietoturvatyökalut ja vahvistaa käyttöoikeustasot ennen tietojen lähettämistä Command-and-Control (C2) -palvelimelleen. Lisähyötykuormat toimitetaan sitten MSI-paketteina tai suoritettavina tiedostoina. Pysyvyys saavutetaan luomalla ajoitettuja tehtäviä COM-objektien avulla ja injektoimalla komentotulkkikoodia, tekniikkaa, joka yhdistää yksinkertaisuuden ja hienostuneisuuden.

Hiiviskely ja hallinta: Miksi se on vaarallista

Lataaja tukee edistyneitä ominaisuuksia, kuten WQL-kyselyitä ja etäkomentoja prosessien, palveluiden ja asennettujen sovellusten tietojen keräämiseksi. Se voi suorittaa järjestelmäkomentoja, kuten regsvr32, rundll32 ja msiexec, ja jopa suorittaa prosessien tyhjennyksiä, mikä korostaa sen joustavuutta.

Hinnoittelu ja uhkan taustalla oleva liiketoimintamalli

Tämän MaaS-alustan hinta on noussut pilviin ominaisuuksiensa ansiosta:

  • 10 000 dollaria/kuukausi HTTPS-versiosta
  • 15 000 dollaria kuukaudessa DNS-versiosta

Tällaiset kustannukset heijastavat haittaohjelmien tehokkuutta ja kysyntää kyberrikollisuuden ekosysteemissä.

Matanbuchus ja MaaS-evoluution laajempi kuva

Uusin versio on osoitus trendistä, jossa piilotettuja latausohjelmia käytetään hyödyntämään LOLBin-hyökkäyksiä, COM-kaappauksia ja PowerShell-testausohjelmia pysyäkseen huomaamatta. Sen yhteistyötyökalujen, kuten Microsoft Teamsin ja Zoomin, väärinkäyttö vaikeuttaa entisestään yritysten tietoturvaa. Tutkijat korostavat latausohjelmien tunnistuksen integrointia hyökkäyspintojen hallintaan näiden uhkien kehittyessä jatkuvasti.

Trendaavat

Tilin salasana on vanha Sähköpostihuijaus

Tietojenkalastelu, Roskaposti
Huijarit jatkavat harhaanjohtavien sähköpostikampanjoiden laatimista huijatakseen tietämättömiä käyttäjiä luovuttamaan arkaluonteisia tietoja. Yksi tällainen tällä hetkellä liikkeellä oleva huijaus on "Urgent Security Alert" -sähköpostihuijaus, joka tehdään erityisesti "Tilin salasana on vanha" -viestin varjolla. Vaikka ne näyttävät ensi silmäyksellä laillisilta, nämä sähköpostit ovat...

Eniten katsottu

Ladataan...