Popust za več licenc
Podjetje o grožnjah Zlonamerna programska oprema Zlonamerna programska oprema Matanbuchus 3.0

Zlonamerna programska oprema Matanbuchus 3.0

Do leta Mezo leta Zlonamerna programska oprema
Prevedi v:

Matanbuchus je razvpita platforma Malware-as-a-Service, zasnovana za zagotavljanje naslednje stopnje koristnih tovorov, kot so oddajniki Cobalt Strike in izsiljevalska programska oprema. Zlonamerna programska oprema, ki je bila prvič promovirana februarja 2021 na rusko govorečih forumih za 2500 dolarjev, je hitro postala prva izbira za akterje napada. Napadalci so jo uporabili v kampanjah, podobnih ClickFixu, in uporabnike zavedli prek legitimnih, a ogroženih spletnih mest.

Taktike dostave in razvijajoči se vektorji groženj

Tehnike distribucije zlonamerne programske opreme so postale vse bolj dovršene. Začetne kampanje so se močno zanašale na lažna e-poštna sporočila, ki so žrtve usmerjala na zlonamerne povezave do Google Drive. Sčasoma so napadalci svoj arzenal razširili in vključili:

  • Prenosi s strani uporabnikov, ki jih je mogoče prenesti s ogroženih spletnih mest
  • Zlonamerni namestitveni programi MSI
  • Zlonamerne oglaševalske kampanje

Opaženo je bilo, da Matanbuchus uporablja sekundarne koristne tovore, kot so DanaBot, QakBot in Cobalt Strike, ki se pogosto uporabljajo kot odskočna deska za okužbe z izsiljevalsko programsko opremo.

Matanbuchus 3.0: Napredne zmogljivosti in funkcije

Najnovejša različica, Matanbuchus 3.0, uvaja znatne izboljšave za izboljšanje prikritosti in vztrajnosti. Ključne nadgradnje vključujejo:

  • Napredne tehnike komunikacijskih protokolov
  • Izvajanje v pomnilniku za prikrite namene
  • Izboljšano zakrivanje za izogibanje odkrivanju
  • Podpora za obratno lupino prek CMD in PowerShell
  • Možnost zagona DLL, EXE in shellcode koristnih naklad

Ta razvoj poudarja vlogo zlonamerne programske opreme pri omogočanju naprednih, večstopenjskih napadov.

Izkoriščanje v resničnem svetu: socialni inženiring prek Microsoft Teams

Raziskovalci so odkrili kampanjo iz julija 2025, ki je bila usmerjena proti neimenovanemu podjetju. Napadalci so se med zunanjimi klici prek aplikacije Microsoft Teams izdajali za osebje službe za IT-podporo in prepričevali zaposlene, naj zaženejo Quick Assist za oddaljeni dostop. To jim je omogočilo, da so izvedli skript PowerShell, ki je namestil Matanbuchus.

Takšne taktike odražajo metode socialnega inženiringa, ki so bile prej povezane z izsiljevalsko skupino Black Basta, kar kaže na vse večje prekrivanje med nalagalniki in izsiljevalskimi operacijami.

Pod pokrovom: veriga okužbe in vztrajnost

Ko žrtve zaženejo priloženi skript, se prenese arhiv. V njem so:

  • Preimenovan program za posodabljanje Notepad++ (GUP)
  • Spremenjena konfiguracijska datoteka XML
  • Zlonamerna datoteka DLL, ki predstavlja nalagalnik

Po izvedbi Matanbuchus zbere sistemske podatke, preveri varnostna orodja in potrdi ravni privilegijev, preden podrobnosti posreduje svojemu strežniku Command-and-Control (C2). Dodatni koristni tovor se nato dostavi kot paketi MSI ali izvedljive datoteke. Vztrajnost se doseže z ustvarjanjem načrtovanih opravil z uporabo objektov COM in vbrizgavanjem shellcode, tehniko, ki združuje preprostost in prefinjenost.

Prikritost in nadzor: Zakaj je nevarno

Nalagalnik podpira napredne funkcije, vključno s poizvedbami WQL in oddaljenimi ukazi za zbiranje podrobnosti o procesih, storitvah in nameščenih aplikacijah. Lahko izvaja sistemske ukaze, kot so regsvr32, rundll32, msiexec, in celo izvaja izpraznitev procesov, kar poudarja njegovo prilagodljivost.

Oblikovanje cen in poslovni model, ki stoji za grožnjo

Cene te platforme MaaS so se zaradi nabora funkcij močno zvišale:

  • 10.000 USD/mesec za različico HTTPS
  • 15.000 $/mesec za različico DNS

Takšni stroški odražajo učinkovitost in povpraševanje po zlonamerni programski opremi v ekosistemu kibernetske kriminalitete.

Matanbuchus in širša slika evolucije MaaS

Najnovejša različica pooseblja trend prikritih nalagalnikov, ki izkoriščajo LOLBins, ugrabitev COM in PowerShell stagerje, da ostanejo neopaženi. Zloraba orodij za sodelovanje, kot sta Microsoft Teams in Zoom, še dodatno otežuje varnost podjetij. Raziskovalci poudarjajo integracijo zaznavanja nalagalnikov v upravljanje površin napadov, saj se te grožnje nenehno razvijajo.

V trendu

Geslo računa je staro - prevara z e-pošto

Lažno predstavljanje, Neželena pošta
Goljufi še naprej ustvarjajo zavajajoče e-poštne kampanje, s katerimi nič hudega sluteče uporabnike prepričajo, da razkrijejo občutljive podatke. Ena takšnih prevar, ki trenutno kroži, je e-poštna prevara »Nujno varnostno opozorilo«, ki se pojavlja pod krinko sporočila z naslovom »Geslo računa je staro«. Čeprav se na prvi pogled zdijo legitimna, so ta e-poštna sporočila goljufiva in...

Najbolj gledan

Nalaganje...