Škodlivý softvér Matanbuchus 3.0

Matanbuchus je notoricky známa platforma typu Malware-as-a-Service, ktorá je navrhnutá na poskytovanie ďalších škodlivých softvérových útokov, ako sú napríklad signály Cobalt Strike a ransomvér. Malvér, ktorý bol prvýkrát propagovaný vo februári 2021 na rusky hovoriacich fórach za 2 500 dolárov, sa rýchlo stal obľúbenou voľbou útočníkov. Útočníci ho používajú v kampaniach podobných ClickFix, kde oklamú používateľov prostredníctvom legitímnych, no zároveň napadnutých webových stránok.

Taktiky doručovania a vyvíjajúce sa vektory hrozieb

Techniky distribúcie škodlivého softvéru sú čoraz sofistikovanejšie. Počiatočné kampane sa vo veľkej miere spoliehali na phishingové e-maily, ktoré smerovali obete na škodlivé odkazy na Disk Google. Postupom času útočníci rozšírili svoj arzenál o:

• Drive-by sťahovanie z napadnutých stránok
• Škodlivé inštalátory MSI
• Škodlivé reklamné kampane

Bolo pozorované, že Matanbuchus nasadzuje sekundárne užitočné zaťaženie, ako napríklad DanaBot, QakBot a Cobalt Strike, ktoré sa často používajú ako odrazový mostík k infekciám ransomvérom.

Matanbuchus 3.0: Pokročilé možnosti a funkcie

Najnovšia verzia, Matanbuchus 3.0, prináša podstatné vylepšenia na zlepšenie utajenia a vytrvalosti. Medzi kľúčové vylepšenia patria:

• Pokročilé techniky komunikačných protokolov
• Vykonávanie v pamäti pre nenápadné účely
• Vylepšené zahmlievanie, aby sa predišlo odhaleniu
• Podpora reverzného shellu cez CMD a PowerShell
• Možnosť spúšťať súbory DLL, EXE a shellcode

Tento vývoj podčiarkuje úlohu malvéru pri uľahčovaní pokročilých, viacstupňových útokov.

Zneužívanie v reálnom svete: Sociálne inžinierstvo prostredníctvom Microsoft Teams

Výskumníci odhalili kampaň z júla 2025 zameranú na nemenovanú spoločnosť. Útočníci sa počas externých hovorov cez Microsoft Teams vydávali za pracovníkov IT helpdesku a presviedčali zamestnancov, aby spustili Quick Assist pre vzdialený prístup. To im umožnilo spustiť skript PowerShellu, ktorý nasadil Matanbuchus.

Takéto taktiky odrážajú metódy sociálneho inžinierstva, ktoré boli predtým spájané so skupinou ransomvéru Black Basta, čo naznačuje rastúce prekrývanie medzi operáciami zavádzača a ransomvéru.

Pod kapotou: Reťazec infekcie a perzistencia

Keď obete spustia poskytnutý skript, stiahne sa archív. Vo vnútri sa nachádzajú:

• Premenovaný aktualizátor Notepad++ (GUP)
• Upravený konfiguračný súbor XML
• Škodlivá knižnica DLL predstavujúca zavádzací súbor

Po spustení Matanbuchus zhromažďuje systémové údaje, kontroluje bezpečnostné nástroje a potvrdzuje úrovne oprávnení pred odoslaním podrobností na svoj server Command-and-Control (C2). Ďalšie užitočné zaťaženia sa potom doručujú ako balíky MSI alebo spustiteľné súbory. Perzistencia sa dosahuje vytváraním plánovaných úloh pomocou objektov COM a vkladaním shellcode, čo je technika, ktorá spája jednoduchosť a sofistikovanosť.

Nenápadnosť a kontrola: Prečo je to nebezpečné

Zavádzač podporuje pokročilé funkcie vrátane dotazov WQL a vzdialených príkazov na zhromažďovanie podrobností o procesoch, službách a nainštalovaných aplikáciách. Dokáže vykonávať systémové príkazy ako regsvr32, rundll32, msiexec a dokonca vykonávať aj vyprázdnenie procesov, čo zdôrazňuje jeho flexibilitu.

Cena a obchodný model skrytý za hrozbou

Ceny tejto platformy MaaS prudko vzrástli vďaka jej funkciám:

• 10 000 USD mesačne za verziu HTTPS
• 15 000 USD mesačne za verziu DNS

Takéto náklady odrážajú účinnosť a dopyt po škodlivom softvéri v ekosystéme kyberkriminality.

Matanbuchus a širší obraz evolúcie MaaS

Najnovšia verzia stelesňuje trend smerom k nenápadným zavádzačom, ktoré využívajú LOLBiny, únos COM a stagery PowerShellu, aby zostali nepozorované. Zneužívanie nástrojov na spoluprácu, ako sú Microsoft Teams a Zoom, ďalej komplikuje podnikovú bezpečnosť. Výskumníci zdôrazňujú integráciu detekcie zavádzačov do správy povrchov útokov, keďže sa tieto hrozby neustále vyvíjajú.