Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Malware Matanbuchus 3.0-malware

Matanbuchus 3.0-malware

Tegen Mezo in Malware
Vertalen naar:

Matanbuchus is een berucht Malware-as-a-Service-platform dat is ontworpen om next-stage payloads te leveren, zoals Cobalt Strike-beacons en ransomware. De malware, die voor het eerst in februari 2021 werd gepromoot op Russischtalige forums voor $ 2500, groeide al snel uit tot een populaire keuze voor cybercriminelen. Aanvallers hebben het ingezet in ClickFix-achtige campagnes, waarbij ze gebruikers misleidden via legitieme maar gecompromitteerde websites.

Leveringstactieken en evoluerende dreigingsvectoren

De verspreidingstechnieken van de malware zijn steeds geavanceerder geworden. Aanvankelijk maakten de campagnes veel gebruik van phishingmails die slachtoffers naar kwaadaardige Google Drive-links leidden. Na verloop van tijd breidden aanvallers hun arsenaal uit met:

  • Drive-by downloads van gecompromitteerde sites
  • Kwaadaardige MSI-installatieprogramma's
  • Malvertisingcampagnes

Er is waargenomen dat Matanbuchus secundaire payloads zoals DanaBot, QakBot en Cobalt Strike inzet. Deze worden vaak gebruikt als opstapje naar ransomware-infecties.

Matanbuchus 3.0: Geavanceerde mogelijkheden en functies

De nieuwste versie, Matanbuchus 3.0, introduceert aanzienlijke verbeteringen om stealth en persistentie te verbeteren. Belangrijke upgrades zijn onder andere:

  • Geavanceerde communicatieprotocoltechnieken
  • In-memory-uitvoering voor stealth
  • Verbeterde verduistering om detectie te ontwijken
  • Ondersteuning voor omgekeerde shell via CMD en PowerShell
  • Mogelijkheid om DLL-, EXE- en shellcode-payloads te starten

Deze ontwikkeling onderstreept de rol die malware speelt bij het mogelijk maken van geavanceerde, meerfase-aanvallen.

Exploitatie in de echte wereld: social engineering via Microsoft Teams

Onderzoekers ontdekten een campagne uit juli 2025 die gericht was op een naamloos bedrijf. Aanvallers deden zich voor als IT-helpdeskmedewerkers tijdens externe Microsoft Teams-gesprekken en probeerden medewerkers over te halen Quick Assist te starten voor toegang op afstand. Dit stelde hen in staat een PowerShell-script uit te voeren dat Matanbuchus implementeerde.

Dergelijke tactieken lijken op social engineering-methoden die eerder in verband werden gebracht met de Black Basta-ransomwaregroep, wat erop wijst dat er een toenemende overlap is tussen loader- en ransomware-operaties.

Onder de motorkap: infectieketen en persistentie

Zodra slachtoffers het meegeleverde script uitvoeren, wordt er een archief gedownload. Hierin bevinden zich:

  • Een hernoemde Notepad++-updater (GUP)
  • Een aangepast XML-configuratiebestand
  • Een kwaadaardige DLL die de loader vertegenwoordigt

Na uitvoering verzamelt Matanbuchus systeemgegevens, controleert op beveiligingstools en bevestigt de bevoegdheidsniveaus voordat de gegevens naar de Command-and-Control (C2)-server worden verzonden. Aanvullende payloads worden vervolgens geleverd als MSI-pakketten of uitvoerbare bestanden. Persistentie wordt bereikt door geplande taken te maken met behulp van COM-objecten en shellcode te injecteren, een techniek die eenvoud en verfijning combineert.

Stealth en controle: waarom het gevaarlijk is

De loader ondersteunt geavanceerde functies, waaronder WQL-query's en externe opdrachten om details te verzamelen over processen, services en geïnstalleerde applicaties. Hij kan systeemopdrachten uitvoeren zoals regsvr32, rundll32 en msiexec, en zelfs procesuitholling uitvoeren, wat de flexibiliteit ervan benadrukt.

Prijzen en het bedrijfsmodel achter de dreiging

De prijzen voor dit MaaS-platform zijn de pan uit gerezen vanwege de vele functies:

  • $ 10.000/maand voor de HTTPS-versie
  • $ 15.000/maand voor de DNS-versie

Deze kosten weerspiegelen de effectiviteit van de malware en de vraag ernaar binnen het cybercrime-ecosysteem.

Matanbuchus en het grotere plaatje van de MaaS-evolutie

De nieuwste versie is een toonbeeld van de trend waarbij stealth-first loaders gebruikmaken van LOLBins, COM-hijacking en PowerShell-stagers om onopgemerkt te blijven. Het misbruik van samenwerkingstools zoals Microsoft Teams en Zoom compliceert de beveiliging van bedrijven verder. Onderzoekers benadrukken het belang van het integreren van loaderdetectie in het beheer van het aanvalsoppervlak, aangezien deze bedreigingen zich blijven ontwikkelen.

Trending

Meest bekeken

Bezig met laden...