Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Programe malware Programe malware Matanbuchus 3.0

Programe malware Matanbuchus 3.0

Până în Mezo în Programe malware
Tradu in:

Matanbuchus este o platformă Malware-as-a-Service notorie, concepută pentru a oferi sarcini utile de nivel superior, cum ar fi beacon-urile Cobalt Strike și ransomware. Promovat pentru prima dată în februarie 2021 pe forumuri vorbitoare de limbă rusă pentru 2.500 de dolari, malware-ul a devenit rapid o opțiune preferată de actorii de amenințare. Atacatorii l-au folosit în campanii de tip ClickFix, păcălind utilizatorii prin intermediul unor site-uri web legitime, dar compromise.

Tactici de livrare și vectori de amenințare în evoluție

Tehnicile de distribuire a programelor malware au devenit din ce în ce mai sofisticate. Campaniile inițiale s-au bazat în mare măsură pe e-mailuri de phishing care direcționau victimele către linkuri Google Drive rău intenționate. În timp, atacatorii și-au extins arsenalul pentru a include:

  • Descărcări automate de pe site-uri compromise
  • Instalatori MSI rău intenționați
  • Campanii de publicitate malicioasă

S-a observat că Matanbuchus implementează sarcini utile secundare precum DanaBot, QakBot și Cobalt Strike, care sunt adesea folosite ca puncte de plecare pentru infecțiile cu ransomware.

Matanbuchus 3.0: Capacități și caracteristici avansate

Cea mai recentă versiune, Matanbuchus 3.0, introduce îmbunătățiri substanțiale pentru a îmbunătăți ascunderea și persistența. Printre actualizările cheie se numără:

  • Tehnici avansate de protocol de comunicare
  • Execuție în memorie pentru stealth
  • Obfuscare îmbunătățită pentru a evita detectarea
  • Suport pentru shell invers prin CMD și PowerShell
  • Capacitatea de a lansa fișiere DLL, EXE și shellcode

Această evoluție subliniază rolul malware-ului în facilitarea atacurilor avansate, în mai multe etape.

Exploatare în lumea reală: Inginerie socială prin Microsoft Teams

Cercetătorii au descoperit o campanie din iulie 2025 care viza o companie anonimă. Atacatorii s-au dat drept personal de asistență IT în timpul apelurilor externe Microsoft Teams, convingându-i pe angajați să lanseze Quick Assist pentru acces de la distanță. Acest lucru le-a permis să execute un script PowerShell care implementează Matanbuchus.

Astfel de tactici reflectă metodele de inginerie socială asociate anterior cu grupul ransomware Black Basta, indicând o suprapunere tot mai mare între operațiunile de tip loader și cele ale ransomware-ului.

Sub capotă: Lanțul de infecții și persistența

Odată ce victimele rulează scriptul furnizat, se descarcă o arhivă. În interior se află:

  • Un program de actualizare Notepad++ (GUP) redenumit
  • Un fișier de configurare XML modificat
  • Un DLL malițios care reprezintă încărcătorul

După execuție, Matanbuchus colectează date de sistem, verifică existența instrumentelor de securitate și confirmă nivelurile de privilegii înainte de a transmite detaliile către serverul său de comandă și control (C2). Sarcini suplimentare sunt apoi livrate ca pachete MSI sau executabile. Persistența se realizează prin crearea de sarcini programate folosind obiecte COM și injectarea de cod shell, o tehnică ce îmbină simplitatea și sofisticarea.

Ascundere și control: De ce este periculos

Încărcătorul acceptă funcții avansate, inclusiv interogări WQL și comenzi la distanță pentru a colecta detalii despre procese, servicii și aplicații instalate. Poate executa comenzi de sistem precum regsvr32, rundll32, msiexec și chiar poate efectua golirea proceselor, evidențiind flexibilitatea sa.

Prețurile și modelul de afaceri din spatele amenințării

Această platformă MaaS a înregistrat o creștere vertiginosă a prețurilor datorită setului său de funcții:

  • 10.000 USD/lună pentru versiunea HTTPS
  • 15.000 USD/lună pentru versiunea DNS

Astfel de costuri reflectă eficacitatea și cererea malware-ului în ecosistemul criminalității cibernetice.

Matanbuchus și imaginea de ansamblu a evoluției MaaS

Cea mai recentă versiune întruchipează tendința către încărcătoare stealth-first care utilizează LOLBins, COM hijacking și stagere PowerShell pentru a rămâne nedetectate. Abuzul de instrumente de colaborare precum Microsoft Teams și Zoom complică și mai mult securitatea întreprinderilor. Cercetătorii subliniază integrarea detectării încărcătoarelor în gestionarea suprafeței de atac, pe măsură ce aceste amenințări continuă să evolueze.

Trending

Parola contului este o înșelătorie prin e-mail veche

phishing, Spam
Escrocii continuă să creeze campanii de e-mailuri înșelătoare pentru a păcăli utilizatorii neavizați să ofere informații sensibile. O astfel de escrocherie care circulă în prezent este escrocheria prin e-mail „Alertă de securitate urgentă”, care apare sub masca unui mesaj intitulat „Parola contului este veche”. Deși par legitime la prima vedere, aceste e-mailuri sunt frauduloase și reprezintă o...

Cele mai văzute

Se încarcă...