Скидка на мультилицензию
База данных угроз Вредоносное ПО Matanbuchus 3.0 Malware

Matanbuchus 3.0 Malware

К Mezo году в Вредоносное ПО году
Перевести на:

Matanbuchus — это печально известная платформа «вредоносное ПО как услуга», предназначенная для доставки вредоносных программ нового уровня, таких как маяки Cobalt Strike и программы-вымогатели. Впервые представленная в феврале 2021 года на русскоязычных форумах с ценой в 2500 долларов, эта вредоносная программа быстро стала излюбленным выбором злоумышленников. Злоумышленники использовали её в кампаниях в стиле ClickFix, обманывая пользователей через легитимные, но взломанные веб-сайты.

Тактика доставки и меняющиеся векторы угроз

Методы распространения вредоносного ПО становятся всё более изощрёнными. Первоначальные кампании в значительной степени опирались на фишинговые письма, перенаправлявшие жертв на вредоносные ссылки Google Диска. Со временем злоумышленники расширили свой арсенал, включив в него:

  • Скрытые загрузки с взломанных сайтов
  • Вредоносные установщики MSI
  • Вредоносные рекламные кампании

Было замечено, что Matanbuchus использует вторичные полезные нагрузки, такие как DanaBot, QakBot и Cobalt Strike, которые часто используются в качестве промежуточных звеньев для заражения программами-вымогателями.

Matanbuchus 3.0: Расширенные возможности и функции

Последняя версия, Matanbuchus 3.0, представляет собой существенные улучшения, повышающие скрытность и стойкость. Ключевые обновления включают в себя:

  • Расширенные методы протокола связи
  • Выполнение в памяти для скрытности
  • Улучшенная обфускация для избежания обнаружения
  • Поддержка обратной оболочки через CMD и PowerShell
  • Возможность запуска полезных нагрузок DLL, EXE и шеллкодов

Эта эволюция подчеркивает роль вредоносного ПО в проведении сложных многоэтапных атак.

Эксплуатация в реальном мире: социальная инженерия через Microsoft Teams

Исследователи обнаружили кампанию, организованную в июле 2025 года и направленную против неназванной компании. Злоумышленники выдавали себя за сотрудников службы ИТ-поддержки во время внешних звонков через Microsoft Teams, убеждая сотрудников запустить Quick Assist для удалённого доступа. Это позволило им выполнить скрипт PowerShell, развёртывающий Matanbuchus.

Подобная тактика напоминает методы социальной инженерии, ранее связываемые с группой вымогателей Black Basta, что указывает на растущее совпадение операций загрузчиков и вымогателей.

Под капотом: цепочка заражения и устойчивость

После запуска предоставленного скрипта жертвой скачивается архив. Внутри находятся:

  • Переименованный обновитель Notepad++ (GUP)
  • Измененный файл конфигурации XML
  • Вредоносная DLL-библиотека, представляющая собой загрузчик

После выполнения Matanbuchus собирает системные данные, проверяет наличие средств безопасности и подтверждает уровни привилегий, прежде чем передать информацию на свой сервер управления и контроля (C2). Дополнительные полезные данные затем доставляются в виде MSI-пакетов или исполняемых файлов. Устойчивость достигается за счёт создания запланированных задач с использованием COM-объектов и внедрения шелл-кода — техники, сочетающей простоту и сложность.

Скрытность и контроль: почему это опасно

Загрузчик поддерживает расширенные функции, включая WQL-запросы и удалённые команды для сбора информации о процессах, службах и установленных приложениях. Он может выполнять системные команды, такие как regsvr32, rundll32, msiexec, и даже выполнять очистку процессов, что подчёркивает его гибкость.

Ценообразование и бизнес-модель, лежащая в основе угрозы

Цены на эту платформу MaaS резко возросли благодаря ее функционалу:

  • 10 000 долларов США в месяц за HTTPS-версию
  • 15 000 долларов в месяц за версию DNS

Такие затраты отражают эффективность вредоносного ПО и его востребованность в экосистеме киберпреступности.

Матанбухус и общая картина эволюции MaaS

Последняя версия воплощает тенденцию к скрытным загрузчикам, использующим LOLBins, COM-перехват и PowerShell-стейджеры для сохранения незамеченными. Использование инструментов совместной работы, таких как Microsoft Teams и Zoom, ещё больше усложняет корпоративную безопасность. Исследователи подчеркивают важность интеграции обнаружения загрузчиков в систему управления поверхностями атак, поскольку эти угрозы продолжают развиваться.

В тренде

Мошенничество при размещении заказа

Вредоносное ПО, Фишинг, Спам
В цифровую эпоху электронная почта остается одним из самых распространенных средств коммуникации и одним из самых злоупотребляемых. Среди бесчисленных вредоносных кампаний по электронной почте,...

Пароль учетной записи — старый адрес электронной...

Фишинг, Спам
Мошенники продолжают создавать обманные кампании по электронной почте, чтобы обманом заставить ничего не подозревающих пользователей предоставить конфиденциальную информацию. Одним из таких мошенничеств, циркулирующих в настоящее время, является мошенничество по электронной почте «Срочное предупреждение безопасности», в частности, под видом сообщения под названием «Пароль учетной записи...

Наиболее просматриваемые

Загрузка...