Matanbuchus 3.0 Malware
Matanbuchus ist eine berüchtigte Malware-as-a-Service-Plattform, die entwickelt wurde, um Payloads wie Cobalt Strike Beacons und Ransomware zu verbreiten. Die Malware wurde erstmals im Februar 2021 in russischsprachigen Foren für 2.500 US-Dollar beworben und entwickelte sich schnell zur bevorzugten Wahl für Bedrohungsakteure. Angreifer setzten sie in ClickFix-ähnlichen Kampagnen ein und lockten Nutzer über legitime, aber kompromittierte Websites.
Inhaltsverzeichnis
Liefertaktiken und sich entwickelnde Bedrohungsvektoren
Die Verbreitungstechniken der Malware sind immer ausgefeilter geworden. Anfängliche Kampagnen basierten hauptsächlich auf Phishing-E-Mails, die die Opfer auf schädliche Google Drive-Links umleiteten. Im Laufe der Zeit erweiterten die Angreifer ihr Arsenal um:
- Drive-by-Downloads von kompromittierten Websites
- Schädliche MSI-Installationsprogramme
- Malvertising-Kampagnen
Es wurde beobachtet, dass Matanbuchus sekundäre Schadsoftware wie DanaBot, QakBot und Cobalt Strike einsetzt, die oft als Sprungbrett für Ransomware-Infektionen dienen.
Matanbuchus 3.0: Erweiterte Fähigkeiten und Funktionen
Die neueste Version, Matanbuchus 3.0, bietet wesentliche Verbesserungen für Tarnung und Ausdauer. Zu den wichtigsten Upgrades gehören:
- Erweiterte Kommunikationsprotokolltechniken
- In-Memory-Ausführung für Stealth
- Verbesserte Verschleierung, um der Erkennung zu entgehen
- Reverse-Shell-Unterstützung über CMD und PowerShell
- Möglichkeit zum Starten von DLL-, EXE- und Shellcode-Nutzdaten
Diese Entwicklung unterstreicht die Rolle der Schadsoftware bei der Ermöglichung komplexer, mehrstufiger Angriffe.
Ausnutzung in der realen Welt: Social Engineering über Microsoft Teams
Forscher deckten eine Kampagne im Juli 2025 auf, die auf ein nicht genanntes Unternehmen abzielte. Angreifer gaben sich bei externen Microsoft-Teams-Anrufen als IT-Helpdesk-Mitarbeiter aus und brachten die Mitarbeiter dazu, Quick Assist für den Fernzugriff zu starten. Dadurch konnten sie ein PowerShell-Skript ausführen, das Matanbuchus bereitstellte.
Solche Taktiken ähneln Social-Engineering-Methoden, die zuvor mit der Black Basta-Ransomware-Gruppe in Verbindung gebracht wurden, was auf eine zunehmende Überschneidung zwischen Loader- und Ransomware-Operationen hindeutet.
Unter der Haube: Infektionskette und Persistenz
Sobald das Opfer das bereitgestellte Skript ausführt, wird ein Archiv heruntergeladen. Darin befinden sich:
- Ein umbenannter Notepad++-Updater (GUP)
- Eine modifizierte XML-Konfigurationsdatei
- Eine bösartige DLL, die den Loader darstellt
Nach der Ausführung sammelt Matanbuchus Systemdaten, prüft Sicherheitstools und bestätigt Berechtigungsstufen, bevor es Details an seinen Command-and-Control-Server (C2) überträgt. Zusätzliche Nutzdaten werden dann als MSI-Pakete oder ausführbare Dateien bereitgestellt. Die Persistenz wird durch die Erstellung geplanter Aufgaben mithilfe von COM-Objekten und das Einfügen von Shellcode erreicht – eine Technik, die Einfachheit und Raffinesse vereint.
Tarnung und Kontrolle: Warum es gefährlich ist
Der Loader unterstützt erweiterte Funktionen, darunter WQL-Abfragen und Remote-Befehle, um Details zu Prozessen, Diensten und installierten Anwendungen zu erfassen. Er kann Systembefehle wie regsvr32, rundll32 und msiexec ausführen und sogar Prozess-Hollowing durchführen, was seine Flexibilität unterstreicht.
Preisgestaltung und das Geschäftsmodell hinter der Bedrohung
Die Preise dieser MaaS-Plattform sind aufgrund ihres Funktionsumfangs in die Höhe geschossen:
- 10.000 $/Monat für die HTTPS-Version
- 15.000 $/Monat für die DNS-Version
Diese Kosten spiegeln die Wirksamkeit der Schadsoftware und die Nachfrage im Ökosystem der Cyberkriminalität wider.
Matanbuchus und das Gesamtbild der MaaS-Entwicklung
Die neueste Version verkörpert den Trend zu Stealth-First-Loadern, die LOLBins, COM-Hijacking und PowerShell-Stager nutzen, um unentdeckt zu bleiben. Der Missbrauch von Kollaborationstools wie Microsoft Teams und Zoom erschwert die Unternehmenssicherheit zusätzlich. Forscher legen Wert darauf, die Loader-Erkennung in das Angriffsflächenmanagement zu integrieren, da sich diese Bedrohungen ständig weiterentwickeln.
