Matanbuchus 3.0-skadlig programvara
Matanbuchus är en ökänd plattform för skadlig kod som en tjänst (Malware-as-a-Service) utformad för att leverera nästa stegs nyttolaster som Cobalt Strike-beacons och ransomware. Skadlig kod marknadsfördes först i februari 2021 på rysktalande forum för 2 500 dollar och blev snabbt ett självklart val för hotande aktörer. Angripare har använt den i ClickFix-liknande kampanjer och lurat användare via legitima men komprometterade webbplatser.
Innehållsförteckning
Leveranstaktik och utvecklande hotvektorer
Distributionsteknikerna för den skadliga programvaran har blivit alltmer sofistikerade. Initiala kampanjer förlitade sig i hög grad på nätfiskemejl som hänvisade offren till skadliga Google Drive-länkar. Med tiden utökade angriparna sin arsenal till att omfatta:
- Drive-by-nedladdningar från komprometterade webbplatser
- Skadliga MSI-installationsprogram
- Skadliga reklamkampanjer
Matanbuchus har observerats när han använder sekundära nyttolaster som DanaBot, QakBot och Cobalt Strike, vilka ofta används som språngbrädor till ransomware-infektioner.
Matanbuchus 3.0: Avancerade funktioner och funktioner
Den senaste versionen, Matanbuchus 3.0, introducerar betydande förbättringar för att förbättra smygförmåga och uthållighet. Viktiga uppgraderingar inkluderar:
- Avancerade kommunikationsprotokolltekniker
- Exekvering i minnet för stealth
- Förbättrad obfuskation för att undvika upptäckt
- Stöd för omvänt skal via CMD och PowerShell
- Möjlighet att starta DLL-, EXE- och shellcode-nyttolaster
Denna utveckling understryker skadlig programvaras roll i att underlätta avancerade attacker i flera steg.
Verklig exploatering: Social ingenjörskonst via Microsoft Teams
Forskare avslöjade en kampanj från juli 2025 riktad mot ett namnlöst företag. Angriparna utgav sig för att vara IT-helpdeskpersonal under externa Microsoft Teams-samtal och övertalade anställda att starta Quick Assist för fjärråtkomst. Detta gjorde det möjligt för dem att köra ett PowerShell-skript som distribuerade Matanbuchus.
Sådana taktiker speglar sociala ingenjörskonstmetoder som tidigare kopplats till Black Basta ransomware-gruppen, vilket indikerar en växande överlappning mellan laddare och ransomware-operationer.
Under huven: Infektionskedjan och persistens
När offren kör det angivna skriptet laddas ett arkiv ner. Inuti finns:
- En omdöpt Notepad++-uppdateringsprogram (GUP)
- En modifierad XML-konfigurationsfil
- En skadlig DLL som representerar laddaren
Efter körning samlar Matanbuchus in systemdata, kontrollerar säkerhetsverktyg och bekräftar behörighetsnivåer innan detaljer överförs till sin Command-and-Control (C2)-server. Ytterligare nyttolaster levereras sedan som MSI-paket eller körbara filer. Persistens uppnås genom att skapa schemalagda uppgifter med hjälp av COM-objekt och injicera shellcode, en teknik som blandar enkelhet och sofistikering.
Stealth och kontroll: Varför det är farligt
Laddaren stöder avancerade funktioner, inklusive WQL-frågor och fjärrkommandon för att samla in information om processer, tjänster och installerade applikationer. Den kan köra systemkommandon som regsvr32, rundll32, msiexec och till och med utföra processholowing, vilket framhäver dess flexibilitet.
Prissättning och affärsmodellen bakom hotet
Denna MaaS-plattform har sett sina priser skjuta i höjden med sina funktioner:
- 10 000 USD/månad för HTTPS-versionen
- 15 000 dollar/månad för DNS-versionen
Sådana kostnader återspeglar skadlig programvaras effektivitet och efterfrågan i ekosystemet för cyberbrottslighet.
Matanbuchus och den större bilden av MaaS-utvecklingen
Den senaste versionen sammanfattar trenden mot smygande laddare som utnyttjar LOLBins, COM-kapning och PowerShell-stagers för att förbli oupptäckta. Dess missbruk av samarbetsverktyg som Microsoft Teams och Zoom komplicerar ytterligare företagssäkerheten. Forskare betonar vikten av att integrera laddardetektering i hanteringen av attackytor i takt med att dessa hot fortsätter att utvecklas.
