 16 de junio de 2025Ravie Lakshmananthrattat INTELIGENCIA / Vulnerabilidad Los investigadores de ciberseguridad han marcado una nueva variante de un cargador de malware conocido llamado Matanbuchus que incluye características significativas para mejorar su detección de sigilo y evadir. Matanbuchus es el nombre dado a una oferta de malware como servicio (MAAS) que puede actuar como un conducto para las cargas útiles de la próxima etapa, incluidas las balizas de ataque de cobalto y el ransomware. Publicados por primera vez en febrero de 2021 en los foros de cibercrimen de habla rusa para un precio de alquiler de $ 2,500, el malware se ha utilizado como parte de señuelos similares a ClickFix para engañar a los usuarios que visitan sitios legítimos legítimos y confirmados que no lo ejecutan. En cambio, a menudo se implementa utilizando ingeniería social práctica, donde los atacantes engañan directamente a los usuarios. En algunos casos, admite el tipo de acceso inicial utilizado por los corredores que venden entrada a grupos de ransomware. Esto lo hace más dirigido y coordinado que los cargadores de productos típicos. La última versión del cargador, rastreada como Matanbuchus 3.0, incorpora varias características nuevas, incluidas las técnicas de protocolo de comunicación mejoradas, las capacidades en memoria, los métodos de ofuscación mejorados, la CMD y el soporte de carcasa inversa de PowerShell, y la capacidad de ejecutar cargas útiles de DLL, EXE y Shellcode de la próxima etapa, por morrfisec. La compañía de seguridad cibernética dijo que observó el malware en un incidente a principios de este mes en el que una compañía no identificada fue dirigida a través de llamadas externas de Microsoft Equips que se sufraron una mesa de ayuda de TI y engañó a los empleados para que lanzaran asistencia rápida para el acceso remoto y luego ejecutar un script de Powershell que desplegó a Matanbuchus. Vale la pena señalar que las tácticas de ingeniería social similares han sido empleadas por actores de amenaza asociados con la operación de ransomware negro Basta. «Las víctimas son cuidadosamente atacadas y persuadidas para ejecutar un guión que desencadena la descarga de un archivo», dijo Michael Gorelik, CTO de Morphisec. «Este archivo contiene un Updater de Notepad ++ renombrado (GUP), un archivo XML de configuración ligeramente modificado y un DLL cargado de lateral malicioso que representa el cargador Matanbuchus». Matanbuchus 3.0 ha sido anunciado públicamente por un precio mensual de $ 10,000 para la versión HTTPS y $ 15,000 para la versión DNS. Una vez lanzado, el malware recopila información del sistema e itera sobre la lista de procesos de ejecución para determinar la presencia de herramientas de seguridad. También verifica el estado de su proceso para verificar si se está ejecutando con privilegios administrativos. Luego envía los detalles recopilados a un servidor de comando y control (C2) para recibir cargas útiles adicionales en forma de instaladores MSI y ejecutables portátiles. La persistencia en la toma se logra configurando una tarea programada. «Si bien suena simple, los desarrolladores de Matanbuchus implementaron técnicas avanzadas para programar una tarea a través del uso de COM e inyección de ShellCode», explicó Gorelik. «El shellcode en sí es interesante; implementa una resolución API relativamente básica (comparaciones de cadenas simples) y una ejecución sofisticada de COM que manipula el servicio de ITasks». El cargador también viene equipado con características que el servidor C2 puede invocar de forma remota para recopilar todos los procesos de ejecución, los servicios en ejecución y una lista de aplicaciones instaladas. «El malware Matanbuchus 3.0 como servicio se ha convertido en una amenaza sofisticada», dijo Gorelik. «Esta versión actualizada introduce técnicas avanzadas, como protocolos de comunicación mejorados, sigilo en memoria, ofuscación mejorada y soporte para consultas WQL, CMD y capas inversas de PowerShell». «The loader’s ability to execute regsvr32, rundll32, msiexec, or process hollowing commands underscores its versatility, making it a significant risk to compromised systems.»As malware-as-a-service evolves, Matanbuchus 3.0 fits into a broader trend of stealth-first loaders that rely on LOLBins (living-off-the-land binaries), COM object hijacking, y PowerShell Stagers para permanecer bajo el radar. Los investigadores de amenaza están mapeando cada vez más estos cargadores como parte de las estrategias de gestión de la superficie de ataque y vinculándolas al abuso de herramientas de colaboración empresarial como los equipos de Microsoft y Zoom. ¿Encontró este artículo interesante? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.