Matanbuchus 3.0 मैलवेयर

मटनबुचस एक कुख्यात मैलवेयर-एज़-अ-सर्विस प्लेटफ़ॉर्म है जिसे कोबाल्ट स्ट्राइक बीकन और रैंसमवेयर जैसे अगले चरण के पेलोड प्रदान करने के लिए डिज़ाइन किया गया है। पहली बार फरवरी 2021 में रूसी भाषी मंचों पर $2,500 में प्रचारित, यह मैलवेयर जल्द ही ख़तरनाक तत्वों की पहली पसंद बन गया। हमलावरों ने इसे क्लिकफ़िक्स-शैली के अभियानों में इस्तेमाल किया है, और वैध लेकिन असुरक्षित वेबसाइटों के ज़रिए उपयोगकर्ताओं को धोखा दिया है।

वितरण रणनीतियाँ और विकसित होते खतरे के वेक्टर

मैलवेयर के वितरण की तकनीकें लगातार जटिल होती जा रही हैं। शुरुआती अभियान मुख्यतः फ़िशिंग ईमेल पर निर्भर थे जो पीड़ितों को दुर्भावनापूर्ण गूगल ड्राइव लिंक पर ले जाते थे। समय के साथ, हमलावरों ने अपने हथियारों का विस्तार करते हुए इसमें ये शामिल कर लिए:

• समझौता की गई साइटों से ड्राइव-बाय डाउनलोड
• दुर्भावनापूर्ण MSI इंस्टॉलर
• मैलवेयर विज्ञापन अभियान

मतानबुचस को डानाबोट, क्यूकबोट और कोबाल्ट स्ट्राइक जैसे द्वितीयक पेलोड तैनात करते हुए देखा गया है, जिनका उपयोग अक्सर रैनसमवेयर संक्रमण के लिए कदम के रूप में किया जाता है।

Matanbuchus 3.0: उन्नत क्षमताएँ और विशेषताएँ

नवीनतम संस्करण, Matanbuchus 3.0, चुपके और दृढ़ता को बेहतर बनाने के लिए महत्वपूर्ण सुधार प्रस्तुत करता है। प्रमुख उन्नयन में शामिल हैं:

• उन्नत संचार प्रोटोकॉल तकनीकें
• चुपके के लिए इन-मेमोरी निष्पादन
• पता लगाने से बचने के लिए उन्नत अस्पष्टीकरण
• CMD और PowerShell के माध्यम से रिवर्स शेल समर्थन
• DLL, EXE, और शेलकोड पेलोड लॉन्च करने की क्षमता

यह विकास उन्नत, बहु-चरणीय हमलों को सुगम बनाने में मैलवेयर की भूमिका को रेखांकित करता है।

वास्तविक दुनिया में शोषण: माइक्रोसॉफ्ट टीम्स के माध्यम से सोशल इंजीनियरिंग

शोधकर्ताओं ने जुलाई 2025 में एक अनाम कंपनी को निशाना बनाकर किए गए एक अभियान का पर्दाफ़ाश किया। हमलावरों ने बाहरी माइक्रोसॉफ्ट टीम्स कॉल के दौरान आईटी हेल्प डेस्क कर्मियों का रूप धारण किया और कर्मचारियों को रिमोट एक्सेस के लिए क्विक असिस्ट लॉन्च करने के लिए प्रेरित किया। इससे उन्हें मटनबुचस को तैनात करके एक पावरशेल स्क्रिप्ट निष्पादित करने में मदद मिली।

इस तरह की रणनीतियां पहले ब्लैक बस्ता रैनसमवेयर समूह से जुड़ी सामाजिक इंजीनियरिंग विधियों को प्रतिबिंबित करती हैं, जो लोडर और रैनसमवेयर संचालन के बीच बढ़ते ओवरलैप का संकेत देती हैं।

हुड के नीचे: संक्रमण श्रृंखला और दृढ़ता

जब पीड़ित दी गई स्क्रिप्ट चलाते हैं, तो एक संग्रह डाउनलोड हो जाता है। इसके अंदर ये हैं:

• पुनःनामित नोटपैड++ अपडेटर (GUP)
• एक संशोधित XML कॉन्फ़िगरेशन फ़ाइल
• लोडर का प्रतिनिधित्व करने वाला एक दुर्भावनापूर्ण DLL

निष्पादन के बाद, मटनबुचस सिस्टम डेटा एकत्र करता है, सुरक्षा उपकरणों की जाँच करता है, और अपने कमांड-एंड-कंट्रोल (C2) सर्वर को विवरण प्रेषित करने से पहले विशेषाधिकार स्तरों की पुष्टि करता है। इसके बाद अतिरिक्त पेलोड MSI पैकेज या निष्पादन योग्य के रूप में वितरित किए जाते हैं। COM ऑब्जेक्ट्स का उपयोग करके शेड्यूल किए गए कार्यों को बनाकर और शेलकोड इंजेक्ट करके स्थायित्व प्राप्त किया जाता है, यह एक ऐसी तकनीक है जो सरलता और परिष्कार का मिश्रण है।

चुपके और नियंत्रण: यह खतरनाक क्यों है?

यह लोडर उन्नत सुविधाओं का समर्थन करता है, जिनमें WQL क्वेरीज़ और रिमोट कमांड शामिल हैं जो प्रक्रियाओं, सेवाओं और इंस्टॉल किए गए एप्लिकेशन के बारे में विवरण एकत्र करते हैं। यह regsvr32, rundll32, msiexec जैसे सिस्टम कमांड निष्पादित कर सकता है, और यहाँ तक कि प्रोसेस होलोइंग भी कर सकता है, जो इसके लचीलेपन को दर्शाता है।

मूल्य निर्धारण और खतरे के पीछे का व्यावसायिक मॉडल

इस MaaS प्लेटफॉर्म की कीमत इसके फीचर सेट के कारण आसमान छू रही है:

• HTTPS संस्करण के लिए $10,000/माह
• DNS संस्करण के लिए $15,000/माह

ऐसी लागतें साइबर अपराध पारिस्थितिकी तंत्र में मैलवेयर की प्रभावशीलता और मांग को दर्शाती हैं।

मटनबुचस और MaaS विकास की बड़ी तस्वीर

नवीनतम संस्करण, LOLBins, COM हाईजैकिंग और PowerShell स्टेजर्स का लाभ उठाकर बिना पकड़े जाने वाले स्टील्थ-फर्स्ट लोडर्स की प्रवृत्ति का प्रतीक है। Microsoft Teams और Zoom जैसे सहयोग उपकरणों का दुरुपयोग, एंटरप्राइज़ सुरक्षा को और भी जटिल बना देता है। शोधकर्ता, लोडर डिटेक्शन को अटैक सरफेस मैनेजमेंट में एकीकृत करने पर ज़ोर देते हैं क्योंकि ये खतरे लगातार विकसित हो रहे हैं।