Negli ultimi tempi, il panorama delle minacce informatiche è stato scosso dall’emergere di una nuova versione del noto malware loader Matanbuchus, identificata come Matanbuchus 3.0. Questo malware si distingue per le sue capacità avanzate di evasione e stealth, rendendolo una minaccia particolarmente insidiosa per aziende e organizzazioni. A differenza di molti loader tradizionali diffusi tramite campagne di spam o download accidentali, Matanbuchus viene spesso veicolato attraverso tecniche di social engineering mirate, sfruttando piattaforme di collaborazione come Microsoft Teams.
Gli attacchi tramite Microsoft Teams
Gli attaccanti utilizzano Microsoft Teams per impersonare il supporto tecnico e indurre le vittime ad avviare strumenti di assistenza remota come Quick Assist, eseguendo poi script PowerShell che installano Matanbuchus sul sistema bersaglio. Questa strategia di attacco diretto, altamente mirata, consente ai cybercriminali di ottenere accesso iniziale e preparare il terreno per attacchi ransomware o l’installazione di payload successivi come Cobalt Strike.
Le novità di Matanbuchus 3.0
Matanbuchus 3.0 introduce una serie di nuove funzionalità che ne aumentano la pericolosità: tra queste, un protocollo di comunicazione migliorato, capacità di esecuzione in memoria, tecniche avanzate di offuscamento e supporto per reverse shell tramite CMD e PowerShell. Il malware è in grado di eseguire DLL, EXE e shellcode come payload di secondo stadio, offrendo agli attaccanti una notevole flessibilità operativa. L’offerta come malware-as-a-service (MaaS) lo rende inoltre facilmente accessibile sul mercato nero, con prezzi che variano dai 10.000 ai 15.000 dollari al mese a seconda della versione.
Persistenza e tecniche avanzate
Una volta installato, Matanbuchus raccoglie informazioni dettagliate sul sistema, identifica eventuali strumenti di sicurezza attivi e verifica i privilegi amministrativi. Comunica con server di comando e controllo (C2) per ricevere ulteriori istruzioni e payload, utilizzando tecniche sofisticate come la pianificazione di task tramite COM object e iniezione di shellcode per garantire la persistenza. Il loader può inoltre eseguire comandi tramite LOLBins come regsvr32, rundll32 e msiexec, oltre a sfruttare process hollowing per nascondere le proprie attività.
Una minaccia in evoluzione
L’evoluzione di Matanbuchus riflette la tendenza crescente verso loader stealth che sfruttano strumenti di amministrazione legittimi e piattaforme di collaborazione aziendale come vettori di attacco, mettendo in evidenza la necessità di strategie di difesa proattive e di una formazione costante degli utenti contro il social engineering.