Matanbuchus 3.0 Malware

మాటాన్‌బుకస్ అనేది కోబాల్ట్ స్ట్రైక్ బీకాన్‌లు మరియు రాన్సమ్‌వేర్ వంటి తదుపరి దశ పేలోడ్‌లను అందించడానికి రూపొందించబడిన అపఖ్యాతి పాలైన మాల్వేర్-యాజ్-ఎ-సర్వీస్ ప్లాట్‌ఫామ్. మొదట ఫిబ్రవరి 2021లో రష్యన్ మాట్లాడే ఫోరమ్‌లలో $2,500కి ప్రమోట్ చేయబడిన ఈ మాల్వేర్ త్వరగా బెదిరింపు నటులకు ఇష్టమైన ఎంపికగా మారింది. దాడి చేసేవారు దీనిని క్లిక్‌ఫిక్స్-శైలి ప్రచారాలలో ఉపయోగించారు, చట్టబద్ధమైన కానీ రాజీపడిన వెబ్‌సైట్‌ల ద్వారా వినియోగదారులను మోసం చేశారు.

డెలివరీ వ్యూహాలు మరియు అభివృద్ధి చెందుతున్న ముప్పు వెక్టర్లు

మాల్వేర్ పంపిణీ పద్ధతులు మరింత అధునాతనంగా మారాయి. ప్రారంభ ప్రచారాలు బాధితులను హానికరమైన Google డిస్క్ లింక్‌లకు మళ్లించే ఫిషింగ్ ఇమెయిల్‌లపై ఎక్కువగా ఆధారపడ్డాయి. కాలక్రమేణా, దాడి చేసేవారు తమ ఆయుధశాలను విస్తరించారు:

• రాజీపడిన సైట్‌ల నుండి డ్రైవ్-బై డౌన్‌లోడ్‌లు
• హానికరమైన MSI ఇన్‌స్టాలర్లు
• మాల్వర్టైజింగ్ ప్రచారాలు

మతాన్‌బుకస్ డానాబాట్, క్వాక్‌బాట్ మరియు కోబాల్ట్ స్ట్రైక్ వంటి ద్వితీయ పేలోడ్‌లను మోహరించడం గమనించబడింది, వీటిని తరచుగా రాన్సమ్‌వేర్ ఇన్‌ఫెక్షన్లకు సోపానంగా ఉపయోగిస్తారు.

మటాన్‌బుకస్ 3.0: అధునాతన సామర్థ్యాలు మరియు లక్షణాలు

తాజా పునరావృతం, మాటన్‌బుకస్ 3.0, స్టెల్త్ మరియు నిలకడను మెరుగుపరచడానికి గణనీయమైన మెరుగుదలలను పరిచయం చేస్తుంది. కీలక అప్‌గ్రేడ్‌లలో ఇవి ఉన్నాయి:

• అధునాతన కమ్యూనికేషన్ ప్రోటోకాల్ పద్ధతులు
• స్టెల్త్ కోసం ఇన్-మెమరీ అమలు
• గుర్తింపును తప్పించుకోవడానికి మెరుగైన అస్పష్టత
• CMD మరియు పవర్‌షెల్ ద్వారా రివర్స్ షెల్ మద్దతు
• DLL, EXE మరియు షెల్‌కోడ్ పేలోడ్‌లను ప్రారంభించగల సామర్థ్యం

ఈ పరిణామం అధునాతన, బహుళ-దశల దాడులను సులభతరం చేయడంలో మాల్వేర్ పాత్రను నొక్కి చెబుతుంది.

వాస్తవ ప్రపంచ దోపిడీ: మైక్రోసాఫ్ట్ బృందాల ద్వారా సామాజిక ఇంజనీరింగ్

పరిశోధకులు జూలై 2025లో ఒక తెలియని కంపెనీని లక్ష్యంగా చేసుకుని జరిగిన ప్రచారాన్ని కనుగొన్నారు. మైక్రోసాఫ్ట్ టీమ్స్ బాహ్య కాల్స్ సమయంలో దాడి చేసేవారు ఐటీ హెల్ప్ డెస్క్ సిబ్బందిని అనుకరించి, రిమోట్ యాక్సెస్ కోసం క్విక్ అసిస్ట్‌ను ప్రారంభించమని ఉద్యోగులను ఒప్పించారు. ఇది మతాన్‌బుచస్‌ను అమలు చేసే పవర్‌షెల్ స్క్రిప్ట్‌ను అమలు చేయడానికి వారిని అనుమతించింది.

ఇటువంటి వ్యూహాలు గతంలో బ్లాక్ బాస్టా రాన్సమ్‌వేర్ సమూహానికి అనుసంధానించబడిన సోషల్ ఇంజనీరింగ్ పద్ధతులను ప్రతిబింబిస్తాయి, ఇది లోడర్ మరియు రాన్సమ్‌వేర్ కార్యకలాపాల మధ్య పెరుగుతున్న అతివ్యాప్తిని సూచిస్తుంది.

అండర్ ది హుడ్: ఇన్ఫెక్షన్ చైన్ మరియు పెర్సిస్టెన్స్

బాధితులు అందించిన స్క్రిప్ట్‌ను అమలు చేసిన తర్వాత, ఒక ఆర్కైవ్ డౌన్‌లోడ్ చేయబడుతుంది. లోపల ఇవి ఉన్నాయి:

• పేరు మార్చబడిన నోట్‌ప్యాడ్++ అప్‌డేటర్ (GUP)
• సవరించబడిన XML కాన్ఫిగరేషన్ ఫైల్
• లోడర్‌ను సూచించే హానికరమైన DLL

అమలు తర్వాత, మటాన్‌బుకస్ సిస్టమ్ డేటాను సేకరిస్తుంది, భద్రతా సాధనాల కోసం తనిఖీ చేస్తుంది మరియు దాని కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్‌కు వివరాలను ప్రసారం చేసే ముందు ప్రత్యేక స్థాయిలను నిర్ధారిస్తుంది. అదనపు పేలోడ్‌లు MSI ప్యాకేజీలు లేదా ఎక్జిక్యూటబుల్‌లుగా డెలివరీ చేయబడతాయి. COM ఆబ్జెక్ట్‌లను ఉపయోగించి షెడ్యూల్ చేయబడిన పనులను సృష్టించడం మరియు షెల్‌కోడ్‌ను ఇంజెక్ట్ చేయడం ద్వారా నిలకడ సాధించబడుతుంది, ఇది సరళత మరియు అధునాతనతను మిళితం చేసే సాంకేతికత.

దొంగతనం మరియు నియంత్రణ: ఇది ఎందుకు ప్రమాదకరం

లోడర్ WQL ప్రశ్నలు మరియు ప్రాసెస్‌లు, సేవలు మరియు ఇన్‌స్టాల్ చేయబడిన అప్లికేషన్‌లపై వివరాలను సేకరించడానికి రిమోట్ ఆదేశాలతో సహా అధునాతన లక్షణాలకు మద్దతు ఇస్తుంది. ఇది regsvr32, rundll32, msiexec వంటి సిస్టమ్ ఆదేశాలను అమలు చేయగలదు మరియు ప్రాసెస్ హాలోయింగ్‌ను కూడా చేయగలదు, దాని వశ్యతను హైలైట్ చేస్తుంది.

ధర నిర్ణయం మరియు ముప్పు వెనుక ఉన్న వ్యాపార నమూనా

ఈ MaaS ప్లాట్‌ఫామ్ దాని ఫీచర్ సెట్‌తో దాని ధరలను ఆకాశాన్ని తాకింది:

• HTTPS వెర్షన్ కోసం నెలకు $10,000
• DNS వెర్షన్ కోసం నెలకు $15,000

ఇటువంటి ఖర్చులు సైబర్ నేరాల పర్యావరణ వ్యవస్థలో మాల్వేర్ ప్రభావం మరియు డిమాండ్‌ను ప్రతిబింబిస్తాయి.

మాటాన్‌బుకస్ మరియు మాస్ పరిణామం యొక్క పెద్ద చిత్రం

తాజా వెర్షన్ LOLBins, COM హైజాకింగ్ మరియు పవర్‌షెల్ స్టేజర్‌లను ఉపయోగించి స్టెల్త్-ఫస్ట్ లోడర్‌లు గుర్తించబడకుండా ఉండే ధోరణిని సూచిస్తుంది. మైక్రోసాఫ్ట్ టీమ్స్ మరియు జూమ్ వంటి సహకార సాధనాల దుర్వినియోగం సంస్థ భద్రతను మరింత క్లిష్టతరం చేస్తుంది. ఈ బెదిరింపులు అభివృద్ధి చెందుతున్నందున, దాడి ఉపరితల నిర్వహణలో లోడర్ గుర్తింపును సమగ్రపరచడాన్ని పరిశోధకులు నొక్కి చెబుతున్నారు.