Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware Matanbuchus 3.0 Malware

Matanbuchus 3.0 Malware

Nga MezoMalware
Përkthe në:

Matanbuchus është një platformë famëkeqe Malware-as-a-Service e projektuar për të ofruar ngarkesa të nivelit të ardhshëm, të tilla si Cobalt Strike beacons dhe ransomware. I promovuar për herë të parë në shkurt 2021 në forume rusishtfolëse për 2,500 dollarë, malware u bë shpejt një zgjedhje e preferuar për aktorët kërcënues. Sulmuesit e kanë përdorur atë në fushata të stilit ClickFix, duke mashtruar përdoruesit përmes faqeve të internetit legjitime, por të kompromentuara.

Taktikat e Dorëzimit dhe Vektorët e Kërcënimit në Zhvillim

Teknikat e shpërndarjes së programeve keqdashëse janë bërë gjithnjë e më të sofistikuara. Fushatat fillestare mbështeteshin shumë në emailet e phishing-ut që i drejtonin viktimat në lidhje të dëmshme të Google Drive. Me kalimin e kohës, sulmuesit e zgjeruan arsenalin e tyre për të përfshirë:

  • Shkarkime nga faqet e kompromentuara
  • Instalues të dëmshëm të MSI-së
  • Fushatat e reklamimit keqdashës

Matanbuchus është vërejtur duke vendosur ngarkesa dytësore si DanaBot, QakBot dhe Cobalt Strike, të cilat shpesh përdoren si trampolinë për infeksionet me ransomware.

Matanbuchus 3.0: Aftësi dhe Karakteristika të Avancuara

Versioni më i fundit, Matanbuchus 3.0, prezanton përmirësime të konsiderueshme për të përmirësuar fshehtësinë dhe qëndrueshmërinë. Përmirësimet kryesore përfshijnë:

  • Teknika të avancuara të protokollit të komunikimit
  • Ekzekutim në kujtesë për fshehtësi
  • Mbulim i përmirësuar për të shmangur zbulimin
  • Mbështetje për shell-in e kundërt nëpërmjet CMD dhe PowerShell
  • Aftësia për të nisur ngarkesa DLL, EXE dhe shellcode

Ky evolucion nënvizon rolin e programeve keqdashëse në lehtësimin e sulmeve të avancuara dhe shumëfazore.

Shfrytëzimi në Botën Reale: Inxhinieri Sociale nëpërmjet Microsoft Teams

Studiuesit zbuluan një fushatë të korrikut 2025 që synonte një kompani të paidentifikuar. Sulmuesit u imituan si personel i ndihmës teknike të IT-së gjatë thirrjeve të jashtme të Microsoft Teams, duke i bindur punonjësit të nisnin Quick Assist për akses në distancë. Kjo u lejoi atyre të ekzekutonin një skript PowerShell që vendoste Matanbuchus.

Taktika të tilla pasqyrojnë metodat e inxhinierisë sociale të lidhura më parë me grupin e ransomware-it Black Basta, duke treguar një mbivendosje në rritje midis operacioneve të ngarkuesit dhe ransomware-it.

Nën Kapuç: Zinxhiri i Infeksionit dhe Qëndrueshmëria

Pasi viktimat ekzekutojnë skriptin e dhënë, shkarkohet një arkiv. Brenda janë:

  • Një përditësues i riemëruar i Notepad++ (GUP)
  • Një skedar konfigurimi XML i modifikuar
  • Një DLL keqdashëse që përfaqëson ngarkuesin

Pas ekzekutimit, Matanbuchus mbledh të dhëna të sistemit, kontrollon për mjete sigurie dhe konfirmon nivelet e privilegjeve përpara se të transmetojë detajet në serverin e tij Command-and-Control (C2). Ngarkesa shtesë dorëzohen më pas si paketa MSI ose ekzekutues. Qëndrueshmëria arrihet duke krijuar detyra të planifikuara duke përdorur objekte COM dhe duke injektuar shellcode, një teknikë që përzien thjeshtësinë dhe sofistikimin.

Fshehtësia dhe Kontrolli: Pse është e rrezikshme

Ngarkuesi mbështet veçori të përparuara, duke përfshirë pyetje WQL dhe komanda në distancë për të mbledhur detaje mbi proceset, shërbimet dhe aplikacionet e instaluara. Mund të ekzekutojë komanda sistemi si regsvr32, rundll32, msiexec, dhe madje të kryejë zbrazëti procesesh, duke theksuar fleksibilitetin e tij.

Çmimet dhe Modeli i Biznesit Pas Kërcënimit

Kjo platformë MaaS ka parë rritjen e çmimeve me grupin e veçorive të saj:

  • 10,000 dollarë në muaj për versionin HTTPS
  • 15,000 dollarë në muaj për versionin DNS

Kosto të tilla pasqyrojnë efektivitetin dhe kërkesën e programeve keqdashëse në ekosistemin e krimit kibernetik.

Matanbuchus dhe Pamja e Përgjithshme e Evolucionit të MaaS

Versioni më i fundit mishëron trendin drejt ngarkuesve të fshehtë që shfrytëzojnë LOLBin-et, rrëmbimin e COM dhe stager-ët e PowerShell për të mbetur të pazbuluar. Abuzimi i mjeteve të bashkëpunimit si Microsoft Teams dhe Zoom e ndërlikon më tej sigurinë e ndërmarrjeve. Studiuesit theksojnë integrimin e zbulimit të ngarkuesit në menaxhimin e sipërfaqes së sulmit, ndërsa këto kërcënime vazhdojnë të evoluojnë.

Në trend

Fjalëkalimi i llogarisë është mashtrim i vjetër me...

Fishing, Spam
Mashtruesit vazhdojnë të hartojnë fushata mashtruese me email për të mashtruar përdoruesit e pavetëdijshëm që të japin informacione të ndjeshme. Një mashtrim i tillë që qarkullon aktualisht është mashtrimi me email "Alarm Urgjent Sigurie", konkretisht nën maskën e një mesazhi të titulluar "Fjalëkalimi i Llogarisë është i Vjetër". Pavarësisht se duken të ligjshme në shikim të parë, këto email-e...

Më e shikuara

Po ngarkohet...