Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Kenkėjiška programa „Matanbuchus 3.0“ kenkėjiška programa

„Matanbuchus 3.0“ kenkėjiška programa

Autorius Mezo, Kenkėjiška programa
Versti į:

„Matanbuchus“ yra liūdnai pagarsėjusi kenkėjiškų programų kaip paslaugos platforma, skirta teikti naujos pakopos naudingąją informaciją, pvz., „Cobalt Strike“ švyturėlius ir išpirkos reikalaujančias programas. Pirmą kartą reklamuota 2021 m. vasarį rusakalbių forumuose už 2500 USD, kenkėjiška programa greitai tapo populiaru kenkėjiškų veikėjų pasirinkimu. Užpuolikai ją naudojo „ClickFix“ stiliaus kampanijose, apgaudinėdami vartotojus per teisėtas, bet pažeistas svetaines.

Pristatymo taktika ir besivystantys grėsmių vektoriai

Kenkėjiškos programos platinimo metodai tapo vis sudėtingesni. Pradinės kampanijos daugiausia rėmėsi sukčiavimo el. laiškais, nukreipiančiais aukas į kenkėjiškas „Google“ disko nuorodas. Laikui bėgant, užpuolikai išplėtė savo arsenalą, įtraukdami:

  • Automatiniai atsisiuntimai iš pažeistų svetainių
  • Kenkėjiški MSI diegimo programos
  • Kenkėjiškos reklamos kampanijos

Pastebėta, kad „Matanbuchus“ diegia antrines programas, tokias kaip „DanaBot“, „QakBot“ ir „Cobalt Strike“, kurios dažnai naudojamos kaip tramplinas į išpirkos reikalaujančias programas.

„Matanbuchus 3.0“: išplėstinės galimybės ir funkcijos

Naujausia versija „Matanbuchus 3.0“ pasižymi esminiais patobulinimais, skirtais pagerinti slaptumą ir atsparumą saugumui. Svarbiausi atnaujinimai:

  • Pažangūs ryšio protokolų metodai
  • Atmintyje vykdomas slaptas veikimas
  • Patobulintas maskavimas siekiant išvengti aptikimo
  • Atvirkštinio apvalkalo palaikymas per CMD ir PowerShell
  • Galimybė paleisti DLL, EXE ir apvalkalinio kodo naudingąsias apkrovas

Ši evoliucija pabrėžia kenkėjiškų programų vaidmenį palengvinant pažangias, daugiapakopes atakas.

Realaus pasaulio išnaudojimas: socialinė inžinerija per „Microsoft Teams“

Tyrėjai atskleidė 2025 m. liepos mėn. vykdytą kampaniją, nukreiptą prieš neįvardintą įmonę. Užpuolikai išorinių „Microsoft Teams“ skambučių metu apsimetinėjo IT pagalbos tarnybos darbuotojais, įtikindami darbuotojus paleisti „Quick Assist“ nuotolinei prieigai. Tai leido jiems vykdyti „PowerShell“ scenarijų, diegiantį „Matanbuchus“.

Tokia taktika atspindi socialinės inžinerijos metodus, anksčiau siejamus su išpirkos reikalaujančių programų grupe „Black Basta“, ir rodo didėjantį įkėlimo programų ir išpirkos reikalaujančių programų operacijų sutapimą.

Po gaubtu: infekcijos grandinė ir išlikimas

Kai aukos paleidžia pateiktą scenarijų, atsisiunčiamas archyvas. Jame yra:

  • Pervadinta „Notepad++“ atnaujinimo programa (GUP)
  • Modifikuotas XML konfigūracijos failas
  • Kenkėjiška DLL, vaizduojanti įkroviklį

Po vykdymo „Matanbuchus“ renka sistemos duomenis, patikrina, ar yra saugos įrankių, ir patvirtina privilegijų lygius, prieš perduodama informaciją į savo „Command-and-Control“ (C2) serverį. Papildomi naudingieji duomenys tada pristatomi kaip MSI paketai arba vykdomieji failai. Nuolatinis duomenų perdavimas pasiekiamas kuriant suplanuotas užduotis naudojant COM objektus ir įterpiant apvalkalinį kodą – techniką, kuri sujungia paprastumą ir rafinuotumą.

Slaptumas ir kontrolė: kodėl tai pavojinga

Įkrovimo programa palaiko išplėstines funkcijas, įskaitant WQL užklausas ir nuotolines komandas, skirtas rinkti informaciją apie procesus, paslaugas ir įdiegtas programas. Ji gali vykdyti sistemos komandas, tokias kaip regsvr32, rundll32, msiexec, ir netgi atlikti procesų ištuštinimą, o tai pabrėžia jos lankstumą.

Kainodara ir grėsmės verslo modelis

Šios „MaaS“ platformos kainos smarkiai išaugo dėl savo funkcijų rinkinio:

  • 10 000 USD per mėnesį už HTTPS versiją
  • 15 000 USD per mėnesį už DNS versiją

Tokios išlaidos atspindi kenkėjiškų programų efektyvumą ir paklausą kibernetinių nusikaltimų ekosistemoje.

Matanbuchus ir platesnis MaaS evoliucijos vaizdas

Naujausia versija puikiai atspindi tendenciją, kai slapti įkrovikliai naudoja LOLBins, COM užgrobimus ir „PowerShell“ testavimo įrankius, kad liktų nepastebėti. Piktnaudžiavimas bendradarbiavimo įrankiais, tokiais kaip „Microsoft Teams“ ir „Zoom“, dar labiau apsunkina įmonių saugumą. Tyrėjai pabrėžia įkroviklių aptikimo integravimo į atakų paviršių valdymą svarbą, nes šios grėsmės toliau vystosi.

Tendencijos

Paskyros slaptažodis yra senas el. pašto sukčiavimas

Sukčiavimas, Šlamštas
Sukčiai ir toliau kuria apgaulingas el. pašto kampanijas, kad apgautų nieko neįtariančius vartotojus ir išgautų neskelbtiną informaciją. Viena iš tokių šiuo metu cirkuliuojančių sukčiavimo schemų yra „Skubus saugumo įspėjimas“ el. pašto sukčiavimas, konkrečiai prisidengiant pranešimu pavadinimu „Paskyros slaptažodis senas“. Nors iš pirmo žvilgsnio šie el. laiškai atrodo teisėti, jie yra...

Labiausiai žiūrima

Kenkėjiška programa

Sukčiavimas, Šlamštas
35,753
Sukčiavimo pranešimas „Apple Pay Suspended“ yra sukčiavimo taktika, skirta „Apple Pay“ naudotojams. Pranešime teigiama, kad vartotojo Apple Pay piniginė buvo sustabdyta, ir raginama spustelėti nuorodą, kad ją atkurtumėte. Tačiau spustelėjęs nuorodą vartotojas pateks į netikrą svetainę, kuri skirta pavogti jo asmeninę ir finansinę informaciją. Jei vartotojas tampa šios schemos auka, pasekmės...
Įkeliama...