Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Malware Matanbuchus 3.0 kártevő

Matanbuchus 3.0 kártevő

Mezo -ra Malware-ben
Fordítás ide:

A Matanbuchus egy hírhedt Malware-as-a-Service platform, amelyet a következő fázisú hasznos fájlok, például a Cobalt Strike beaconök és a zsarolóvírusok szállítására terveztek. A kártevőt először 2021 februárjában népszerűsítették orosz nyelvű fórumokon 2500 dollárért, és gyorsan a fenyegetések kedvelt választásává vált. A támadók ClickFix-stílusú kampányokban alkalmazták, hogy a felhasználókat legitim, mégis feltört weboldalakon keresztül csalják át.

Szállítási taktikák és fejlődő fenyegetési vektorok

A rosszindulatú program terjesztési technikái egyre kifinomultabbá váltak. A kezdeti kampányok nagymértékben támaszkodtak az adathalász e-mailekre, amelyek az áldozatokat rosszindulatú Google Drive-linkekre irányították. Idővel a támadók kibővítették eszköztárukat a következőkkel:

  • Drive-by letöltések feltört webhelyekről
  • Rosszindulatú MSI telepítők
  • Rosszindulatú hirdetési kampányok

A Matanbuchusról megfigyelték, hogy másodlagos hasznos csomagokat, például DanaBotot, QakBotot és Cobalt Strike-ot telepít, amelyeket gyakran használnak a zsarolóvírus-fertőzések ugródeszkájaként.

Matanbuchus 3.0: Speciális képességek és funkciók

A legújabb verzió, a Matanbuchus 3.0 jelentős fejlesztéseket vezet be a lopakodás és a támadások tartósságának javítása érdekében. A legfontosabb újítások a következők:

  • Fejlett kommunikációs protokoll technikák
  • Memórián belüli végrehajtás lopakodás céljából
  • Fokozott obfuszkálás az észlelés elkerülése érdekében
  • Fordított shell támogatás CMD-n és PowerShell-en keresztül
  • DLL, EXE és shellkód hasznos adatok indításának lehetősége

Ez a fejlődés rávilágít a rosszindulatú programok szerepére a fejlett, többlépcsős támadások elősegítésében.

Valós kizsákmányolás: Szociális manipuláció a Microsoft Teamsen keresztül

A kutatók lelepleztek egy 2025 júliusában indított kampányt, amely egy meg nem nevezett céget célzott meg. A támadók külső Microsoft Teams hívások során IT-helpdesk személyzetnek adtak ki magukat, és rávették az alkalmazottakat, hogy indítsák el a Quick Assist alkalmazást a távoli hozzáféréshez. Ez lehetővé tette számukra, hogy egy PowerShell szkriptet futtassanak, amely telepítette a Matanbuchust.

Az ilyen taktikák a korábban a Black Basta zsarolóvírus-csoporthoz köthető társadalmi manipuláció módszereit tükrözik, ami a betöltő és a zsarolóvírus-műveletek közötti növekvő átfedésre utal.

A motorháztető alatt: Fertőzéslánc és kitartás

Miután az áldozatok lefuttatják a kapott szkriptet, egy archívum töltődik le. A benne található:

  • Átnevezett Notepad++ frissítő (GUP)
  • Módosított XML konfigurációs fájl
  • Egy rosszindulatú DLL, amely a betöltőt képviseli

A végrehajtás után a Matanbuchus begyűjti a rendszeradatokat, ellenőrzi a biztonsági eszközöket, és megerősíti a jogosultsági szinteket, mielőtt elküldi az adatokat a Command-and-Control (C2) szerverének. További hasznos adatokat ezután MSI csomagokként vagy futtatható fájlokként kézbesít. Az állandóságot COM objektumok használatával ütemezett feladatok létrehozásával és shellkód befecskendezésével érik el, amely technika az egyszerűséget és a kifinomultságot ötvözi.

Lopakodás és kontroll: Miért veszélyes?

A betöltő fejlett funkciókat támogat, beleértve a WQL lekérdezéseket és a távoli parancsokat a folyamatok, szolgáltatások és telepített alkalmazások adatainak gyűjtésére. Képes végrehajtani olyan rendszerparancsokat, mint a regsvr32, rundll32, msiexec, sőt, akár folyamatok üregesítését is elvégezheti, kiemelve rugalmasságát.

Árazás és a fenyegetés mögött álló üzleti modell

Ennek a MaaS platformnak az ára az egekbe szökött a funkciókészletével:

  • 10 000 dollár/hónap a HTTPS verzióért
  • 15 000 dollár/hónap a DNS-verzióért

Az ilyen költségek tükrözik a rosszindulatú programok hatékonyságát és a kiberbűnözési ökoszisztémában való keresletet.

Matanbuchus és a MaaS evolúciójának nagyobb képe

A legújabb verzió jól példázza azt a trendet, hogy a lopakodó betöltők a LOLBins, a COM-eltérítés és a PowerShell-indítóeszközök segítségével maradnak észrevétlenek. Az olyan együttműködési eszközökkel való visszaélés, mint a Microsoft Teams és a Zoom, tovább bonyolítja a vállalati biztonságot. A kutatók hangsúlyozzák a betöltők észlelésének integrálását a támadási felületek kezelésébe, mivel ezek a fenyegetések folyamatosan fejlődnek.

Felkapott

Fiókjelszó régi e-mail átverés

Adathalászat, Spam
A csalók továbbra is megtévesztő e-mail kampányokat indítanak, hogy gyanútlan felhasználókat ragadjanak ki érzékeny információk megadására. Az egyik ilyen jelenleg terjedő csalás a „Sürgős biztonsági riasztás” nevű e-mailes csalás, amelyet konkrétan a „Fiókjelszó régi” című üzenet álcája mögé rejtenek. Bár első pillantásra legitimnek tűnnek, ezek az e-mailek csalók, és komoly veszélyt...

Legnézettebb

Betöltés...