Matanbuchus 3.0 Malware

ਮੈਟਨਬੁਚਸ ਇੱਕ ਬਦਨਾਮ ਮਾਲਵੇਅਰ-ਐਜ਼-ਏ-ਸਰਵਿਸ ਪਲੇਟਫਾਰਮ ਹੈ ਜੋ ਕੋਬਾਲਟ ਸਟ੍ਰਾਈਕ ਬੀਕਨ ਅਤੇ ਰੈਨਸਮਵੇਅਰ ਵਰਗੇ ਅਗਲੇ-ਪੜਾਅ ਦੇ ਪੇਲੋਡ ਪ੍ਰਦਾਨ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਪਹਿਲੀ ਵਾਰ ਫਰਵਰੀ 2021 ਵਿੱਚ ਰੂਸੀ-ਭਾਸ਼ੀ ਫੋਰਮਾਂ 'ਤੇ $2,500 ਵਿੱਚ ਪ੍ਰਮੋਟ ਕੀਤਾ ਗਿਆ, ਇਹ ਮਾਲਵੇਅਰ ਜਲਦੀ ਹੀ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਲਈ ਇੱਕ ਪਸੰਦੀਦਾ ਵਿਕਲਪ ਬਣ ਗਿਆ। ਹਮਲਾਵਰਾਂ ਨੇ ਇਸਨੂੰ ClickFix-ਸ਼ੈਲੀ ਦੀਆਂ ਮੁਹਿੰਮਾਂ ਵਿੱਚ ਵਰਤਿਆ ਹੈ, ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਜਾਇਜ਼ ਪਰ ਸਮਝੌਤਾ ਕੀਤੀਆਂ ਵੈੱਬਸਾਈਟਾਂ ਰਾਹੀਂ ਧੋਖਾ ਦਿੱਤਾ ਹੈ।

ਡਿਲੀਵਰੀ ਰਣਨੀਤੀਆਂ ਅਤੇ ਵਿਕਸਤ ਹੋ ਰਹੇ ਖ਼ਤਰੇ ਦੇ ਵੈਕਟਰ

ਮਾਲਵੇਅਰ ਦੀਆਂ ਵੰਡ ਤਕਨੀਕਾਂ ਤੇਜ਼ੀ ਨਾਲ ਸੂਝਵਾਨ ਹੋ ਗਈਆਂ ਹਨ। ਸ਼ੁਰੂਆਤੀ ਮੁਹਿੰਮਾਂ ਪੀੜਤਾਂ ਨੂੰ ਖਤਰਨਾਕ Google ਡਰਾਈਵ ਲਿੰਕਾਂ ਵੱਲ ਨਿਰਦੇਸ਼ਤ ਕਰਨ ਵਾਲੀਆਂ ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ 'ਤੇ ਬਹੁਤ ਜ਼ਿਆਦਾ ਨਿਰਭਰ ਕਰਦੀਆਂ ਸਨ। ਸਮੇਂ ਦੇ ਨਾਲ, ਹਮਲਾਵਰਾਂ ਨੇ ਆਪਣੇ ਅਸਲੇ ਦਾ ਵਿਸਤਾਰ ਕੀਤਾ ਅਤੇ ਇਹਨਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਕੀਤਾ:

• ਛੇੜਛਾੜ ਵਾਲੀਆਂ ਸਾਈਟਾਂ ਤੋਂ ਡਰਾਈਵ-ਬਾਈ ਡਾਊਨਲੋਡ
• ਖ਼ਰਾਬ MSI ਇੰਸਟਾਲਰ
• ਮਾਲਵੇਅਰਾਈਜ਼ਿੰਗ ਮੁਹਿੰਮਾਂ

ਮੈਟਾਨਬੁਚਸ ਨੂੰ ਡਾਨਾਬੋਟ, ਕੈਕਬੋਟ, ਅਤੇ ਕੋਬਾਲਟ ਸਟ੍ਰਾਈਕ ਵਰਗੇ ਸੈਕੰਡਰੀ ਪੇਲੋਡਾਂ ਨੂੰ ਤੈਨਾਤ ਕਰਦੇ ਦੇਖਿਆ ਗਿਆ ਹੈ, ਜੋ ਅਕਸਰ ਰੈਨਸਮਵੇਅਰ ਇਨਫੈਕਸ਼ਨਾਂ ਲਈ ਕਦਮ ਰੱਖਣ ਵਾਲੇ ਪੱਥਰ ਵਜੋਂ ਵਰਤੇ ਜਾਂਦੇ ਹਨ।

ਮਾਟਨਬੁਚਸ 3.0: ਉੱਨਤ ਸਮਰੱਥਾਵਾਂ ਅਤੇ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ

ਨਵੀਨਤਮ ਦੁਹਰਾਓ, ਮੈਟਨਬੁਚਸ 3.0, ਸਟੀਲਥ ਅਤੇ ਸਥਿਰਤਾ ਨੂੰ ਬਿਹਤਰ ਬਣਾਉਣ ਲਈ ਮਹੱਤਵਪੂਰਨ ਸੁਧਾਰ ਪੇਸ਼ ਕਰਦਾ ਹੈ। ਮੁੱਖ ਅੱਪਗ੍ਰੇਡਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• ਉੱਨਤ ਸੰਚਾਰ ਪ੍ਰੋਟੋਕੋਲ ਤਕਨੀਕਾਂ
• ਚੋਰੀ ਲਈ ਮੈਮੋਰੀ ਵਿੱਚ ਐਗਜ਼ੀਕਿਊਸ਼ਨ
• ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਵਧਾਇਆ ਗਿਆ ਗੁੰਝਲਦਾਰੀਕਰਨ
• CMD ਅਤੇ PowerShell ਰਾਹੀਂ ਰਿਵਰਸ ਸ਼ੈੱਲ ਸਪੋਰਟ
• DLL, EXE, ਅਤੇ ਸ਼ੈੱਲਕੋਡ ਪੇਲੋਡ ਲਾਂਚ ਕਰਨ ਦੀ ਸਮਰੱਥਾ

ਇਹ ਵਿਕਾਸ ਉੱਨਤ, ਬਹੁ-ਪੜਾਅ ਵਾਲੇ ਹਮਲਿਆਂ ਨੂੰ ਸੁਚਾਰੂ ਬਣਾਉਣ ਵਿੱਚ ਮਾਲਵੇਅਰ ਦੀ ਭੂਮਿਕਾ ਨੂੰ ਉਜਾਗਰ ਕਰਦਾ ਹੈ।

ਅਸਲ-ਸੰਸਾਰ ਸ਼ੋਸ਼ਣ: ਮਾਈਕ੍ਰੋਸਾਫਟ ਟੀਮਾਂ ਰਾਹੀਂ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ

ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਜੁਲਾਈ 2025 ਵਿੱਚ ਇੱਕ ਅਣਜਾਣ ਕੰਪਨੀ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੀ ਇੱਕ ਮੁਹਿੰਮ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ। ਹਮਲਾਵਰਾਂ ਨੇ ਬਾਹਰੀ ਮਾਈਕ੍ਰੋਸਾਫਟ ਟੀਮ ਕਾਲਾਂ ਦੌਰਾਨ ਆਈਟੀ ਹੈਲਪ ਡੈਸਕ ਕਰਮਚਾਰੀਆਂ ਦਾ ਰੂਪ ਧਾਰਨ ਕੀਤਾ, ਕਰਮਚਾਰੀਆਂ ਨੂੰ ਰਿਮੋਟ ਐਕਸੈਸ ਲਈ ਕੁਇੱਕ ਅਸਿਸਟ ਲਾਂਚ ਕਰਨ ਲਈ ਪ੍ਰੇਰਿਆ। ਇਸ ਨਾਲ ਉਨ੍ਹਾਂ ਨੂੰ ਮੈਟਨਬੁਚਸ ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਵਾਲੀ ਪਾਵਰਸ਼ੈਲ ਸਕ੍ਰਿਪਟ ਚਲਾਉਣ ਦੀ ਆਗਿਆ ਮਿਲੀ।

ਅਜਿਹੀਆਂ ਚਾਲਾਂ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ ਵਿਧੀਆਂ ਨੂੰ ਦਰਸਾਉਂਦੀਆਂ ਹਨ ਜੋ ਪਹਿਲਾਂ ਬਲੈਕ ਬਾਸਟਾ ਰੈਨਸਮਵੇਅਰ ਸਮੂਹ ਨਾਲ ਜੁੜੀਆਂ ਸਨ, ਜੋ ਕਿ ਲੋਡਰ ਅਤੇ ਰੈਨਸਮਵੇਅਰ ਕਾਰਜਾਂ ਵਿਚਕਾਰ ਵਧ ਰਹੇ ਓਵਰਲੈਪ ਨੂੰ ਦਰਸਾਉਂਦੀਆਂ ਹਨ।

ਹੁੱਡ ਦੇ ਹੇਠਾਂ: ਇਨਫੈਕਸ਼ਨ ਚੇਨ ਅਤੇ ਦ੍ਰਿੜਤਾ

ਇੱਕ ਵਾਰ ਜਦੋਂ ਪੀੜਤਾਂ ਦੁਆਰਾ ਦਿੱਤੀ ਗਈ ਸਕ੍ਰਿਪਟ ਚਲਾਈ ਜਾਂਦੀ ਹੈ, ਤਾਂ ਇੱਕ ਪੁਰਾਲੇਖ ਡਾਊਨਲੋਡ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਅੰਦਰ ਹਨ:

• ਇੱਕ ਨਾਮ ਬਦਲਿਆ ਗਿਆ ਨੋਟਪੈਡ++ ਅੱਪਡੇਟਰ (GUP)
• ਇੱਕ ਸੋਧੀ ਹੋਈ XML ਸੰਰਚਨਾ ਫਾਈਲ
• ਇੱਕ ਖਤਰਨਾਕ DLL ਜੋ ਲੋਡਰ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ

ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਤੋਂ ਬਾਅਦ, ਮੈਟਨਬੁਚਸ ਸਿਸਟਮ ਡੇਟਾ ਇਕੱਠਾ ਕਰਦਾ ਹੈ, ਸੁਰੱਖਿਆ ਟੂਲਸ ਦੀ ਜਾਂਚ ਕਰਦਾ ਹੈ, ਅਤੇ ਆਪਣੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਨੂੰ ਵੇਰਵਿਆਂ ਨੂੰ ਸੰਚਾਰਿਤ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਪੱਧਰਾਂ ਦੀ ਪੁਸ਼ਟੀ ਕਰਦਾ ਹੈ। ਫਿਰ ਵਾਧੂ ਪੇਲੋਡ MSI ਪੈਕੇਜਾਂ ਜਾਂ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਦੇ ਰੂਪ ਵਿੱਚ ਡਿਲੀਵਰ ਕੀਤੇ ਜਾਂਦੇ ਹਨ। COM ਵਸਤੂਆਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਅਨੁਸੂਚਿਤ ਕਾਰਜ ਬਣਾ ਕੇ ਅਤੇ ਸ਼ੈੱਲਕੋਡ ਨੂੰ ਇੰਜੈਕਟ ਕਰਕੇ ਸਥਿਰਤਾ ਪ੍ਰਾਪਤ ਕੀਤੀ ਜਾਂਦੀ ਹੈ, ਇੱਕ ਤਕਨੀਕ ਜੋ ਸਾਦਗੀ ਅਤੇ ਸੂਝ-ਬੂਝ ਨੂੰ ਮਿਲਾਉਂਦੀ ਹੈ।

ਚੋਰੀ ਅਤੇ ਕੰਟਰੋਲ: ਇਹ ਖ਼ਤਰਨਾਕ ਕਿਉਂ ਹੈ

ਇਹ ਲੋਡਰ ਉੱਨਤ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਦਾ ਸਮਰਥਨ ਕਰਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ WQL ਪੁੱਛਗਿੱਛਾਂ ਅਤੇ ਰਿਮੋਟ ਕਮਾਂਡਾਂ ਸ਼ਾਮਲ ਹਨ ਤਾਂ ਜੋ ਪ੍ਰਕਿਰਿਆਵਾਂ, ਸੇਵਾਵਾਂ ਅਤੇ ਸਥਾਪਿਤ ਐਪਲੀਕੇਸ਼ਨਾਂ ਬਾਰੇ ਵੇਰਵੇ ਇਕੱਠੇ ਕੀਤੇ ਜਾ ਸਕਣ। ਇਹ ਸਿਸਟਮ ਕਮਾਂਡਾਂ ਜਿਵੇਂ ਕਿ regsvr32, rundll32, msiexec ਨੂੰ ਚਲਾ ਸਕਦਾ ਹੈ, ਅਤੇ ਇੱਥੋਂ ਤੱਕ ਕਿ ਪ੍ਰਕਿਰਿਆ ਖੋਖਲੀ ਵੀ ਕਰ ਸਕਦਾ ਹੈ, ਇਸਦੀ ਲਚਕਤਾ ਨੂੰ ਉਜਾਗਰ ਕਰਦਾ ਹੈ।

ਕੀਮਤ ਅਤੇ ਖਤਰੇ ਪਿੱਛੇ ਵਪਾਰਕ ਮਾਡਲ

ਇਸ MaaS ਪਲੇਟਫਾਰਮ ਨੇ ਆਪਣੇ ਫੀਚਰ ਸੈੱਟ ਨਾਲ ਆਪਣੀ ਕੀਮਤ ਅਸਮਾਨ ਨੂੰ ਛੂਹ ਲਈ ਹੈ:

• HTTPS ਵਰਜਨ ਲਈ $10,000/ਮਹੀਨਾ
• DNS ਵਰਜਨ ਲਈ $15,000/ਮਹੀਨਾ

ਅਜਿਹੀਆਂ ਲਾਗਤਾਂ ਸਾਈਬਰ ਕ੍ਰਾਈਮ ਈਕੋਸਿਸਟਮ ਵਿੱਚ ਮਾਲਵੇਅਰ ਦੀ ਪ੍ਰਭਾਵਸ਼ੀਲਤਾ ਅਤੇ ਮੰਗ ਨੂੰ ਦਰਸਾਉਂਦੀਆਂ ਹਨ।

ਮਾਟਨਬੁਚਸ ਅਤੇ ਮਾਅਸ ਵਿਕਾਸ ਦੀ ਵੱਡੀ ਤਸਵੀਰ

ਨਵੀਨਤਮ ਸੰਸਕਰਣ LOLBins, COM ਹਾਈਜੈਕਿੰਗ, ਅਤੇ PowerShell ਸਟੇਜਰਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਸਟੀਲਥ-ਫਸਟ ਲੋਡਰਾਂ ਵੱਲ ਰੁਝਾਨ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ ਤਾਂ ਜੋ ਉਹਨਾਂ ਨੂੰ ਅਣਪਛਾਤਾ ਹੀ ਰੱਖਿਆ ਜਾ ਸਕੇ। ਮਾਈਕ੍ਰੋਸਾਫਟ ਟੀਮਾਂ ਅਤੇ ਜ਼ੂਮ ਵਰਗੇ ਸਹਿਯੋਗੀ ਸਾਧਨਾਂ ਦੀ ਇਸਦੀ ਦੁਰਵਰਤੋਂ ਐਂਟਰਪ੍ਰਾਈਜ਼ ਸੁਰੱਖਿਆ ਨੂੰ ਹੋਰ ਵੀ ਗੁੰਝਲਦਾਰ ਬਣਾਉਂਦੀ ਹੈ। ਖੋਜਕਰਤਾ ਹਮਲੇ ਦੀ ਸਤਹ ਪ੍ਰਬੰਧਨ ਵਿੱਚ ਲੋਡਰ ਖੋਜ ਨੂੰ ਏਕੀਕ੍ਰਿਤ ਕਰਨ 'ਤੇ ਜ਼ੋਰ ਦਿੰਦੇ ਹਨ ਕਿਉਂਕਿ ਇਹ ਖਤਰੇ ਵਿਕਸਤ ਹੁੰਦੇ ਰਹਿੰਦੇ ਹਨ।