Специалисты по кибербезопасности
Ссылка скрыта от гостей
о новой версии известного вредоносного загрузчика Matanbuchus, который получил улучшения для повышения скрытности и уклонения от обнаружения. Этот инструмент, предлагаемый как услуга (Malware-as-a-Service, MaaS), служит каналом для доставки payloads, включая маяки Cobalt Strike и ransomware.Matanbuchus впервые появился в феврале 2021 года на русскоязычных форумах киберпреступников по цене аренды 2500 долларов. Он использовался в атаках типа ClickFix, обманывая пользователей на скомпрометированных сайтах. В отличие от типичных загрузчиков, Matanbuchus распространяется через ручной социальный инженеринг: хакеры напрямую обманывают жертв, иногда обеспечивая доступ для продажи ransomware-группам. Это делает атаки целенаправленными и скоординированными. Версия Matanbuchus 3.0 включает усовершенствованные протоколы связи, выполнение в памяти, улучшенную обфускацию, поддержку обратных шеллов CMD и PowerShell, а также запуск payloads в DLL, EXE и shellcode, по данным Morphisec.
Компания зафиксировала инцидент ранее в этом месяце: неизвестная фирма пострадала от звонков в Microsoft Teams, где злоумышленники выдавали себя за IT-поддержку. Они убеждали сотрудников запустить Quick Assist и PowerShell-скрипт, загружающий Matanbuchus. Подобные тактики применялись хакерами Black Basta. "Жертвы тщательно отбираются и убеждаются выполнить скрипт, запускающий архив с переименованным обновителем Notepad++, модифицированным XML и вредоносной DLL", — отметил CTO Morphisec Майкл Горелик.
Эксперты рекомендуют обучать сотрудников распознаванию фишинга, внедрять многофакторную аутентификацию и мониторить коммуникации в Teams. Эволюция Matanbuchus подчеркивает необходимость бдительности: такие атаки грозят финансовыми потерями и утечками данных. Morphisec советует обновлять системы и использовать продвинутые инструменты обнаружения.
