Malware Matanbuchus 3.0

Matanbuchus é uma notória plataforma de Malware como Serviço, projetada para entregar payloads de próxima geração, como beacons Cobalt Strike e ransomware. Promovido pela primeira vez em fevereiro de 2021 em fóruns de língua russa por US$ 2.500, o malware rapidamente se tornou a escolha preferida dos cibercriminosos. Os invasores o empregaram em campanhas no estilo ClickFix, enganando os usuários por meio de sites legítimos, porém comprometidos.

Táticas de entrega e vetores de ameaça em evolução

As técnicas de distribuição do malware tornaram-se cada vez mais sofisticadas. As campanhas iniciais dependiam fortemente de e-mails de phishing que direcionavam as vítimas para links maliciosos do Google Drive. Com o tempo, os invasores expandiram seu arsenal para incluir:

• Downloads drive-by de sites comprometidos
• Instaladores MSI maliciosos
• Campanhas de malvertising

O Matanbuchus foi observado implantando cargas secundárias como DanaBot, QakBot e Cobalt Strike, que são frequentemente usadas como trampolins para infecções de ransomware.

Matanbuchus 3.0: Recursos e capacidades avançadas

A versão mais recente, Matanbuchus 3.0, apresenta melhorias substanciais para aprimorar a furtividade e a persistência. As principais atualizações incluem:

• Técnicas avançadas de protocolo de comunicação
• Execução na memória para furtividade
• Ofuscação aprimorada para evitar detecção
• Suporte a shell reverso via CMD e PowerShell
• Capacidade de iniciar cargas úteis de DLL, EXE e shellcode

Essa evolução ressalta o papel do malware em facilitar ataques avançados e em vários estágios.

Exploração do mundo real: engenharia social via Microsoft Teams

Pesquisadores descobriram uma campanha em julho de 2025, direcionada a uma empresa não identificada. Os invasores se passaram por funcionários do help desk de TI durante chamadas externas do Microsoft Teams, persuadindo os funcionários a iniciar o Quick Assist para acesso remoto. Isso permitiu que eles executassem um script do PowerShell implantando o Matanbuchus.

Essas táticas refletem métodos de engenharia social anteriormente vinculados ao grupo de ransomware Black Basta, indicando uma sobreposição crescente entre operações de loader e ransomware.

Sob o capô: cadeia de infecção e persistência

Assim que as vítimas executam o script fornecido, um arquivo é baixado. Dentro dele estão:

• Um atualizador Notepad++ renomeado (GUP)
• Um arquivo de configuração XML modificado
• Uma DLL maliciosa representando o carregador

Após a execução, o Matanbuchus coleta dados do sistema, verifica as ferramentas de segurança e confirma os níveis de privilégio antes de transmitir os detalhes ao seu servidor de Comando e Controle (C2). Cargas adicionais são então entregues como pacotes MSI ou executáveis. A persistência é alcançada pela criação de tarefas agendadas usando objetos COM e injetando shellcode, uma técnica que combina simplicidade e sofisticação.

Furtividade e controle: por que é perigoso

O carregador suporta recursos avançados, incluindo consultas WQL e comandos remotos para coletar detalhes sobre processos, serviços e aplicativos instalados. Ele pode executar comandos de sistema como regsvr32, rundll32, msiexec e até mesmo realizar o esvaziamento de processos, o que destaca sua flexibilidade.

Precificação e o modelo de negócios por trás da ameaça

O preço desta plataforma MaaS disparou com seu conjunto de recursos:

• US$ 10.000/mês para a versão HTTPS
• US$ 15.000/mês para a versão DNS

Esses custos refletem a eficácia e a demanda do malware no ecossistema do crime cibernético.

Matanbuchus e o panorama geral da evolução do MaaS

A versão mais recente exemplifica a tendência de carregadores furtivos que utilizam LOLBins, sequestro de COM e stagers do PowerShell para permanecerem indetectáveis. O abuso de ferramentas de colaboração como Microsoft Teams e Zoom complica ainda mais a segurança corporativa. Pesquisadores enfatizam a integração da detecção de carregadores ao gerenciamento da superfície de ataque, à medida que essas ameaças continuam a evoluir.