СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
17.07.2025
#ИБ#Инфра

Хакеры распространяют вредоносную программу Matanbuchus 3.0 через Microsoft Teams, выдавая себя за техподдержку

Хакеры распространяют вредоносную программу Matanbuchus 3.0 через Microsoft Teams, выдавая себя за техподдержку

Изображение: Clint Patterson (unsplash)

Исследователи зафиксировали активное распространение новой версии вредоносного загрузчика Matanbuchus, распространяемого по модели Malware-as-a-Service. Как сообщает компания Morphisec, злоумышленники используют поддельные звонки через Microsoft Teams, представляясь IT-специалистами, чтобы убедить сотрудников компаний установить вредоносный скрипт PowerShell. В результате на устройства проникает Matanbuchus 3.0 — усовершенствованный инструмент для загрузки программ-вымогателей и других вредоносных компонентов.

По данным Morphisec, в одном из инцидентов жертва получила вызов в Teams якобы от внутренней службы поддержки, после чего была уговорена запустить Quick Assist для удалённого доступа. Далее злоумышленники активировали скрипт, загружавший архив с поддельным обновлением Notepad++ и DLL-библиотекой, содержащей сам загрузчик Matanbuchus. Эти действия открывают путь для дальнейшего заражения системы.

Matanbuchus впервые появился в 2021 году на русскоязычных форумах, предлагаясь за аренду в $2500. С тех пор он применялся в кампаниях, использующих фишинг с поддельными ссылками Google Drive, drive-by-загрузки, вредоносные MSI-файлы и малвертайзинг. Через него распространялись такие инструменты, как DanaBot, QakBot и Cobalt Strike — все они часто используются как предшественники атак программами-вымогателями.

Третья версия загрузчика включает заметные усовершенствования:

  • усовершенствованная коммуникация с C2-серверами;
  • поддержка выполнения в памяти (in-memory execution);
  • обратные оболочки на CMD и PowerShell;
  • динамическая подгрузка DLL, EXE и shell-кода;
  • продвинутые методы обфускации.

После установки Matanbuchus 3.0 собирает системную информацию и проверяет наличие антивирусов. Он определяет, запущен ли с административными правами, и отправляет собранные данные на управляющий сервер, откуда получает дальнейшие инструкции, часто в виде MSI-файлов или исполняемых модулей.

Для закрепления в системе вредонос создаёт запланированное задание, обеспечивая персистентность. По информации Morphisec, новая версия активно предлагается к продаже в даркнете по цене $10 000 в месяц за HTTPS-вариант и $15 000 за DNS-модификацию.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: