Preventivo sconto multi-licenza
Database delle minacce Malware Malware Matanbuchus 3.0

Malware Matanbuchus 3.0

Entro Mezo nel Malware
Traduci in:

Matanbuchus è una nota piattaforma Malware-as-a-Service progettata per distribuire payload di ultima generazione come i beacon Cobalt Strike e i ransomware. Promosso per la prima volta nel febbraio 2021 su forum di lingua russa al prezzo di 2.500 dollari, il malware è rapidamente diventato la scelta preferita dagli autori delle minacce. Gli aggressori lo hanno utilizzato in campagne in stile ClickFix, ingannando gli utenti attraverso siti web legittimi ma compromessi.

Tattiche di distribuzione e vettori di minaccia in evoluzione

Le tecniche di distribuzione del malware sono diventate sempre più sofisticate. Le campagne iniziali si basavano principalmente su email di phishing che indirizzavano le vittime a link dannosi di Google Drive. Nel tempo, gli aggressori hanno ampliato il loro arsenale includendo:

  • Download drive-by da siti compromessi
  • Programmi di installazione MSI dannosi
  • Campagne di malvertising

È stato osservato che Matanbuchus distribuisce payload secondari come DanaBot, QakBot e Cobalt Strike, spesso utilizzati come trampolini di lancio per le infezioni ransomware.

Matanbuchus 3.0: funzionalità e funzionalità avanzate

L'ultima versione, Matanbuchus 3.0, introduce miglioramenti sostanziali per migliorare la furtività e la persistenza. Gli aggiornamenti principali includono:

  • Tecniche avanzate di protocollo di comunicazione
  • Esecuzione in memoria per la furtività
  • Offuscamento migliorato per eludere il rilevamento
  • Supporto shell inverso tramite CMD e PowerShell
  • Capacità di avviare payload DLL, EXE e shellcode

Questa evoluzione sottolinea il ruolo del malware nel facilitare attacchi avanzati e multifase.

Sfruttamento nel mondo reale: ingegneria sociale tramite Microsoft Teams

I ricercatori hanno scoperto una campagna risalente al luglio 2025, rivolta a un'azienda anonima. Gli aggressori si sono spacciati per personale dell'help desk IT durante chiamate esterne tramite Microsoft Teams, convincendo i dipendenti ad avviare Quick Assist per l'accesso remoto. Ciò ha permesso loro di eseguire uno script di PowerShell che distribuiva Matanbuchus.

Tali tattiche rispecchiano i metodi di ingegneria sociale precedentemente associati al gruppo ransomware Black Basta, indicando una crescente sovrapposizione tra le operazioni dei loader e quelle dei ransomware.

Sotto il cofano: catena di infezione e persistenza

Una volta che le vittime eseguono lo script fornito, viene scaricato un archivio. Al suo interno si trovano:

  • Un aggiornamento Notepad++ rinominato (GUP)
  • Un file di configurazione XML modificato
  • Una DLL dannosa che rappresenta il caricatore

Dopo l'esecuzione, Matanbuchus raccoglie i dati di sistema, verifica la presenza di strumenti di sicurezza e conferma i livelli di privilegio prima di trasmettere i dettagli al suo server di comando e controllo (C2). I payload aggiuntivi vengono quindi forniti come pacchetti MSI o eseguibili. La persistenza viene ottenuta creando attività pianificate utilizzando oggetti COM e iniettando shellcode, una tecnica che unisce semplicità e sofisticatezza.

Furtività e controllo: perché sono pericolosi

Il loader supporta funzionalità avanzate, tra cui query WQL e comandi remoti per raccogliere dettagli su processi, servizi e applicazioni installate. Può eseguire comandi di sistema come regsvr32, rundll32, msiexec e persino eseguire il process hollowing, evidenziando la sua flessibilità.

Prezzi e modello di business dietro la minaccia

Questa piattaforma MaaS ha visto i suoi prezzi salire alle stelle grazie al suo set di funzionalità:

  • $ 10.000/mese per la versione HTTPS
  • $ 15.000/mese per la versione DNS

Tali costi riflettono l'efficacia del malware e la sua domanda nell'ecosistema della criminalità informatica.

Matanbuchus e il quadro generale dell’evoluzione del MaaS

L'ultima versione incarna la tendenza dei loader stealth-first che sfruttano LOLBins, COM hijacking e stager di PowerShell per non essere rilevati. Il suo abuso di strumenti di collaborazione come Microsoft Teams e Zoom complica ulteriormente la sicurezza aziendale. I ricercatori sottolineano l'importanza di integrare il rilevamento dei loader nella gestione delle superfici di attacco, dato che queste minacce continuano a evolversi.

Tendenza

I più visti

Caricamento in corso...