Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Опасный Matanbuchus 3.0 атакует компании

7
2 мин
Исследователи зафиксировали активное распространение новой версии вредоносного загрузчика Matanbuchus, распространяемого по модели Malware-as-a-Service. Как сообщает компания Morphisec, злоумышленники используют поддельные звонки через Microsoft Teams, представляясь IT-специалистами, чтобы убедить сотрудников компаний установить вредоносный скрипт PowerShell. В результате на устройства проникает Matanbuchus 3.0 — усовершенствованный инструмент для загрузки программ-вымогателей и других вредоносных компонентов. По данным Morphisec, в одном из инцидентов жертва получила вызов в Teams якобы от внутренней службы поддержки, после чего была уговорена запустить Quick Assist для удалённого доступа. Далее злоумышленники активировали скрипт, загружавший архив с поддельным обновлением Notepad++ и DLL-библиотекой, содержащей сам загрузчик Matanbuchus. Эти действия открывают путь для дальнейшего заражения системы. Matanbuchus впервые появился в 2021 году на русскоязычных форумах, предлагаясь за аре
Изображение: Clint Patterson (unsplash)
Изображение: Clint Patterson (unsplash)

Исследователи зафиксировали активное распространение новой версии вредоносного загрузчика Matanbuchus, распространяемого по модели Malware-as-a-Service. Как сообщает компания Morphisec, злоумышленники используют поддельные звонки через Microsoft Teams, представляясь IT-специалистами, чтобы убедить сотрудников компаний установить вредоносный скрипт PowerShell. В результате на устройства проникает Matanbuchus 3.0 — усовершенствованный инструмент для загрузки программ-вымогателей и других вредоносных компонентов.

По данным Morphisec, в одном из инцидентов жертва получила вызов в Teams якобы от внутренней службы поддержки, после чего была уговорена запустить Quick Assist для удалённого доступа. Далее злоумышленники активировали скрипт, загружавший архив с поддельным обновлением Notepad++ и DLL-библиотекой, содержащей сам загрузчик Matanbuchus. Эти действия открывают путь для дальнейшего заражения системы.

Matanbuchus впервые появился в 2021 году на русскоязычных форумах, предлагаясь за аренду в $2500. С тех пор он применялся в кампаниях, использующих фишинг с поддельными ссылками Google Drive, drive-by-загрузки, вредоносные MSI-файлы и малвертайзинг. Через него распространялись такие инструменты, как DanaBot, QakBot и Cobalt Strike — все они часто используются как предшественники атак программами-вымогателями.

Третья версия загрузчика включает заметные усовершенствования:

  • усовершенствованная коммуникация с C2-серверами;
  • поддержка выполнения в памяти (in-memory execution);
  • обратные оболочки на CMD и PowerShell;
  • динамическая подгрузка DLL, EXE и shell-кода;
  • продвинутые методы обфускации.

После установки Matanbuchus 3.0 собирает системную информацию и проверяет наличие антивирусов. Он определяет, запущен ли с административными правами, и отправляет собранные данные на управляющий сервер, откуда получает дальнейшие инструкции, часто в виде MSI-файлов или исполняемых модулей.

Для закрепления в системе вредонос создаёт запланированное задание, обеспечивая персистентность. По информации Morphisec, новая версия активно предлагается к продаже в даркнете по цене $10 000 в месяц за HTTPS-вариант и $15 000 за DNS-модификацию.

Оригинал публикации на сайте CISOCLUB: "Хакеры распространяют вредоносную программу Matanbuchus 3.0 через Microsoft Teams, выдавая себя за техподдержку".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.