Matanbuchus 3.0 Malware

மாடன்புச்சஸ் என்பது கோபால்ட் ஸ்ட்ரைக் பீக்கான்கள் மற்றும் ரான்சம்வேர் போன்ற அடுத்த கட்ட பேலோடுகளை வழங்க வடிவமைக்கப்பட்ட ஒரு பிரபலமான மால்வேர்-ஆஸ்-எ-சர்வீஸ் தளமாகும். முதன்முதலில் பிப்ரவரி 2021 இல் ரஷ்ய மொழி பேசும் மன்றங்களில் $2,500 க்கு விளம்பரப்படுத்தப்பட்ட இந்த மால்வேர், அச்சுறுத்தல் செய்பவர்களுக்கு விரைவாக ஒரு சிறந்த தேர்வாக மாறியது. தாக்குதல் நடத்துபவர்கள் கிளிக்ஃபிக்ஸ் பாணி பிரச்சாரங்களில் இதைப் பயன்படுத்தியுள்ளனர், முறையான ஆனால் சமரசம் செய்யப்பட்ட வலைத்தளங்கள் மூலம் பயனர்களை ஏமாற்றுகின்றனர்.

விநியோக உத்திகள் மற்றும் வளர்ந்து வரும் அச்சுறுத்தல் திசையன்கள்

தீம்பொருளின் விநியோக நுட்பங்கள் பெருகிய முறையில் அதிநவீனமாகிவிட்டன. ஆரம்பகால பிரச்சாரங்கள் பாதிக்கப்பட்டவர்களை தீங்கிழைக்கும் கூகிள் டிரைவ் இணைப்புகளுக்கு வழிநடத்தும் ஃபிஷிங் மின்னஞ்சல்களை பெரிதும் நம்பியிருந்தன. காலப்போக்கில், தாக்குபவர்கள் தங்கள் ஆயுதக் களஞ்சியத்தை விரிவுபடுத்தினர்:

• பாதிக்கப்பட்ட தளங்களிலிருந்து டிரைவ்-பை பதிவிறக்கங்கள்
• தீங்கிழைக்கும் MSI நிறுவிகள்
• தவறான விளம்பர பிரச்சாரங்கள்

டானாபாட், காக்பாட் மற்றும் கோபால்ட் ஸ்ட்ரைக் போன்ற இரண்டாம் நிலை தரவு சுமைகளை மதன்புச்சஸ் பயன்படுத்துவது கண்டறியப்பட்டுள்ளது, இவை பெரும்பாலும் ரான்சம்வேர் தொற்றுகளுக்கு படிக்கட்டுகளாகப் பயன்படுத்தப்படுகின்றன.

Matanbuchus 3.0: மேம்பட்ட திறன்கள் மற்றும் அம்சங்கள்

சமீபத்திய பதிப்பு, Matanbuchus 3.0, திருட்டுத்தனம் மற்றும் நிலைத்தன்மையை மேம்படுத்த கணிசமான மேம்பாடுகளை அறிமுகப்படுத்துகிறது. முக்கிய மேம்படுத்தல்களில் பின்வருவன அடங்கும்:

• மேம்பட்ட தகவல் தொடர்பு நெறிமுறை நுட்பங்கள்
• திருட்டுத்தனத்திற்கான நினைவகத்தில் செயல்படுத்தல்
• கண்டறிதலைத் தவிர்க்க மேம்படுத்தப்பட்ட தெளிவின்மை
• CMD மற்றும் PowerShell வழியாக ரிவர்ஸ் ஷெல் ஆதரவு
• DLL, EXE மற்றும் ஷெல்கோடு பேலோடுகளைத் தொடங்கும் திறன்.

இந்தப் பரிணாமம், மேம்பட்ட, பல-நிலை தாக்குதல்களை எளிதாக்குவதில் தீம்பொருளின் பங்கை அடிக்கோடிட்டுக் காட்டுகிறது.

நிஜ உலக சுரண்டல்: மைக்ரோசாஃப்ட் குழுக்கள் வழியாக சமூக பொறியியல்

ஆராய்ச்சியாளர்கள் ஜூலை 2025 இல் ஒரு பெயரிடப்படாத நிறுவனத்தை குறிவைத்து நடத்தப்பட்ட பிரச்சாரத்தை கண்டுபிடித்தனர். வெளிப்புற மைக்ரோசாஃப்ட் குழுக்களின் அழைப்புகளின் போது தாக்குதல் நடத்தியவர்கள் ஐடி உதவி மைய ஊழியர்களைப் போல ஆள்மாறாட்டம் செய்து, தொலைதூர அணுகலுக்கான விரைவு உதவியைத் தொடங்க ஊழியர்களை வற்புறுத்தினர். இது மதன்புச்சஸைப் பயன்படுத்தும் பவர்ஷெல் ஸ்கிரிப்டை இயக்க அனுமதித்தது.

இத்தகைய தந்திரோபாயங்கள் முன்னர் Black Basta ransomware குழுவுடன் இணைக்கப்பட்ட சமூக பொறியியல் முறைகளை பிரதிபலிக்கின்றன, இது ஏற்றி மற்றும் ransomware செயல்பாடுகளுக்கு இடையில் வளர்ந்து வரும் ஒன்றுடன் ஒன்று இருப்பதைக் குறிக்கிறது.

ஹூட்டின் கீழ்: தொற்று சங்கிலி மற்றும் நிலைத்தன்மை

பாதிக்கப்பட்டவர்கள் வழங்கப்பட்ட ஸ்கிரிப்டை இயக்கியதும், ஒரு காப்பகம் பதிவிறக்கம் செய்யப்படுகிறது. உள்ளே:

• மறுபெயரிடப்பட்ட நோட்பேட்++ புதுப்பிப்பான் (GUP)
• மாற்றியமைக்கப்பட்ட XML உள்ளமைவு கோப்பு
• ஏற்றியைக் குறிக்கும் ஒரு தீங்கிழைக்கும் DLL.

செயல்படுத்தலுக்குப் பிறகு, Matanbuchus கணினித் தரவைச் சேகரித்து, பாதுகாப்பு கருவிகளைச் சரிபார்த்து, அதன் கட்டளை-மற்றும்-கட்டுப்பாட்டு (C2) சேவையகத்திற்கு விவரங்களை அனுப்புவதற்கு முன்பு சலுகை நிலைகளை உறுதிப்படுத்துகிறது. கூடுதல் பேலோடுகள் பின்னர் MSI தொகுப்புகள் அல்லது செயல்படுத்தக்கூடியவைகளாக வழங்கப்படுகின்றன. COM பொருள்களைப் பயன்படுத்தி திட்டமிடப்பட்ட பணிகளை உருவாக்குவதன் மூலமும், எளிமை மற்றும் நுட்பத்தை கலக்கும் ஒரு நுட்பமான ஷெல்கோடை செலுத்துவதன் மூலமும் நிலைத்தன்மை அடையப்படுகிறது.

திருட்டுத்தனமும் கட்டுப்பாடும்: அது ஏன் ஆபத்தானது

இந்த ஏற்றி, WQL வினவல்கள் மற்றும் செயல்முறைகள், சேவைகள் மற்றும் நிறுவப்பட்ட பயன்பாடுகள் பற்றிய விவரங்களைச் சேகரிக்கும் தொலை கட்டளைகள் உள்ளிட்ட மேம்பட்ட அம்சங்களை ஆதரிக்கிறது. இது regsvr32, rundll32, msiexec போன்ற கணினி கட்டளைகளை இயக்க முடியும், மேலும் செயல்முறை ஹாலோயிங்கைச் செய்ய முடியும், அதன் நெகிழ்வுத்தன்மையை எடுத்துக்காட்டுகிறது.

விலை நிர்ணயம் மற்றும் அச்சுறுத்தலுக்குப் பின்னால் உள்ள வணிக மாதிரி

இந்த MaaS தளம் அதன் அம்சத் தொகுப்புடன் அதன் விலையை விண்ணை முட்டும் அளவுக்கு உயர்த்தியுள்ளது:

• HTTPS பதிப்பிற்கு $10,000/மாதம்
• DNS பதிப்பிற்கு $15,000/மாதம்

இத்தகைய செலவுகள் சைபர் கிரைம் சுற்றுச்சூழல் அமைப்பில் தீம்பொருளின் செயல்திறன் மற்றும் தேவையை பிரதிபலிக்கின்றன.

மாடன்புச்சஸ் மற்றும் MaaS பரிணாம வளர்ச்சியின் பெரிய படம்

சமீபத்திய பதிப்பு, LOLBins, COM ஹைஜாக்கிங் மற்றும் பவர்ஷெல் ஸ்டேஜர்களைப் பயன்படுத்தி ஸ்டெல்த்-ஃபர்ஸ்ட் லோடர்கள் கண்டறியப்படாமல் இருப்பதை நோக்கிய போக்கை எடுத்துக்காட்டுகிறது. மைக்ரோசாப்ட் டீம்ஸ் மற்றும் ஜூம் போன்ற ஒத்துழைப்பு கருவிகளை இது துஷ்பிரயோகம் செய்வது நிறுவன பாதுகாப்பை மேலும் சிக்கலாக்குகிறது. இந்த அச்சுறுத்தல்கள் தொடர்ந்து உருவாகி வருவதால், லோடர் கண்டறிதலை தாக்குதல் மேற்பரப்பு நிர்வாகத்தில் ஒருங்கிணைப்பதை ஆராய்ச்சியாளர்கள் வலியுறுத்துகின்றனர்.