Matanbuchus 3.0-skadevare

Matanbuchus er en beryktet Malware-as-a-Service-plattform som er utviklet for å levere neste-fase-nyttelaster som Cobalt Strike-beacons og ransomware. Skadevaren ble først promotert i februar 2021 på russisktalende forum for 2500 dollar, og ble raskt et populært valg for trusselaktører. Angripere har brukt den i ClickFix-lignende kampanjer, og lurt brukere gjennom legitime, men kompromitterte nettsteder.

Leveringstaktikker og utviklende trusselvektorer

Distribusjonsteknikkene til skadevaren har blitt stadig mer sofistikerte. De første kampanjene var i stor grad avhengige av phishing-e-poster som ledet ofrene til ondsinnede Google Drive-lenker. Over tid utvidet angriperne arsenalet sitt til å inkludere:

• Drive-by-nedlastinger fra kompromitterte nettsteder
• Ondsinnede MSI-installasjonsprogrammer
• Skadelig reklamekampanjer

Matanbuchus har blitt observert mens han utplasserer sekundære nyttelaster som DanaBot, QakBot og Cobalt Strike, som ofte brukes som springbrett til ransomware-infeksjoner.

Matanbuchus 3.0: Avanserte funksjoner og muligheter

Den nyeste iterasjonen, Matanbuchus 3.0, introduserer betydelige forbedringer for å forbedre sniking og utholdenhet. Viktige oppgraderinger inkluderer:

• Avanserte kommunikasjonsprotokollteknikker
• Utførelse i minnet for stealth
• Forbedret obfuskasjon for å unngå oppdagelse
• Støtte for omvendt skall via CMD og PowerShell
• Mulighet til å starte DLL-, EXE- og shellcode-nyttelaster

Denne utviklingen understreker skadevarens rolle i å legge til rette for avanserte angrep i flere trinn.

Utnyttelse i den virkelige verden: Sosial manipulering via Microsoft Teams

Forskere avdekket en kampanje fra juli 2025 rettet mot et ikke navngitt selskap. Angriperne utga seg for å være IT-hjelpesenterpersonell under eksterne Microsoft Teams-samtaler, og overtalte dermed ansatte til å starte Quick Assist for ekstern tilgang. Dette tillot dem å kjøre et PowerShell-skript som distribuerte Matanbuchus.

Slike taktikker speiler sosial manipuleringsmetoder som tidligere er knyttet til Black Basta-ransomware-gruppen, noe som indikerer en økende overlapping mellom laster- og ransomware-operasjoner.

Under panseret: Smittekjede og vedvarende

Når ofrene kjører det oppgitte skriptet, lastes et arkiv ned. Inni er:

• En omdøpt Notepad++-oppdateringsprogram (GUP)
• En modifisert XML-konfigurasjonsfil
• En ondsinnet DLL som representerer lasteren

Etter kjøring samler Matanbuchus inn systemdata, sjekker sikkerhetsverktøy og bekrefter rettighetsnivåer før detaljer overføres til sin kommando-og-kontroll (C2)-server. Ytterligere nyttelaster leveres deretter som MSI-pakker eller kjørbare filer. Persistens oppnås ved å opprette planlagte oppgaver ved hjelp av COM-objekter og injisere skallkode, en teknikk som blander enkelhet og raffinement.

Stealth og kontroll: Hvorfor det er farlig

Lasteren støtter avanserte funksjoner, inkludert WQL-spørringer og eksterne kommandoer for å samle inn detaljer om prosesser, tjenester og installerte applikasjoner. Den kan utføre systemkommandoer som regsvr32, rundll32, msiexec, og til og med utføre prosessuthuling, noe som fremhever fleksibiliteten.

Prissetting og forretningsmodellen bak trusselen

Denne MaaS-plattformen har sett prisene skyte i været med sine funksjoner:

• 10 000 dollar i måneden for HTTPS-versjonen
• 15 000 dollar/måned for DNS-versjonen

Slike kostnader gjenspeiler skadevarens effektivitet og etterspørsel i økosystemet for nettkriminalitet.

Matanbuchus og det større bildet av MaaS-utviklingen

Den nyeste versjonen er et godt eksempel på trenden mot stealth-first-loadere som utnytter LOLBins, COM-kapring og PowerShell-stagers for å forbli uoppdaget. Misbruk av samarbeidsverktøy som Microsoft Teams og Zoom kompliserer bedriftssikkerheten ytterligere. Forskere legger vekt på å integrere loader-deteksjon i håndteringen av angrepsflater etter hvert som disse truslene fortsetter å utvikle seg.