Los investigadores en ciberseguridad han identificado una nueva variante del conocido cargador de malware Matanbuchus, la versión 3.0, que incorpora mejoras importantes para hacer más difícil su detección y aumentar su capacidad de sigilo.
Matanbuchus es un malware como servicio (MaaS) diseñado para actuar como plataforma de lanzamiento de otras amenazas más graves, como Cobalt Strike y ransomware. Apareció por primera vez en 2021 en foros rusos de cibercrimen, donde se alquilaba por unos 2.500 dólares. Desde entonces, ha sido utilizado en campañas que explotan sitios web legítimos comprometidos, correos de phishing con enlaces a Google Drive, descargas no autorizadas y publicidad maliciosa.
En esta última versión, los atacantes aprovechan Microsoft Teams como nuevo canal para contactar con empleados de empresas. Se hacen pasar por personal de soporte técnico a través de llamadas externas y convencen a las víctimas para que abran Quick Assist, una herramienta de asistencia remota, y así ejecutar scripts de PowerShell que instalan el malware.
Según la firma de seguridad Morphisec, Matanbuchus 3.0 incluye nuevas capacidades de comunicación cifrada, ejecución en memoria, ofuscación avanzada, soporte para shell inversa por CMD y PowerShell, y compatibilidad con la ejecución de DLLs, archivos EXE y shellcode.
El ataque observado incluía un archivo disfrazado de actualizador de Notepad++ (GUP), un archivo XML de configuración ligeramente alterado y una DLL maliciosa que funcionaba como cargador. Todo esto era desplegado a través del engaño al usuario.
Actualmente, el malware se ofrece por un precio mensual de $10,000 para conexiones HTTPS y $15,000 si se usa DNS. Una vez ejecutado, Matanbuchus recopila información del sistema, identifica procesos en ejecución y comprueba si tiene permisos de administrador. Después, se conecta a un servidor de comando y control (C2) para descargar más archivos maliciosos (MSI o ejecutables portables).
La persistencia se consigue mediante tareas programadas, creadas a través de inyección de shellcode y uso de interfaces COM, como ITaskService. También es capaz de listar todos los procesos, servicios y aplicaciones instaladas, y puede ejecutar comandos con rundll32, regsvr32, msiexec o herramientas para vaciar procesos.
“La versión 3.0 convierte a Matanbuchus en una amenaza mucho más sofisticada”, señaló Michael Gorelik, CTO de Morphisec. “Su arquitectura avanzada, técnicas de evasión y uso de herramientas legítimas del sistema operativo lo convierten en un riesgo serio para cualquier red empresarial”.
Esta evolución refleja una tendencia creciente en el malware moderno: usar herramientas cotidianas como Teams o Zoom junto a técnicas de ejecución sigilosa para pasar desapercibidos dentro de entornos corporativos.
Fuente: thehackernews[.]com
