Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso Malware Matanbuchus 3.0

Malware Matanbuchus 3.0

Por Mezo en Software malicioso
Traducir a:

Matanbuchus es una conocida plataforma de malware como servicio (Malware-as-a-Service) diseñada para distribuir cargas útiles de última generación, como balizas Cobalt Strike y ransomware. Promocionado por primera vez en febrero de 2021 en foros rusos por 2500 dólares, este malware se convirtió rápidamente en la opción predilecta de los cibercriminales. Los atacantes lo han empleado en campañas similares a ClickFix, engañando a los usuarios a través de sitios web legítimos pero comprometidos.

Tácticas de entrega y vectores de amenaza en evolución

Las técnicas de distribución del malware se han vuelto cada vez más sofisticadas. Las campañas iniciales se basaban principalmente en correos electrónicos de phishing que dirigían a las víctimas a enlaces maliciosos de Google Drive. Con el tiempo, los atacantes ampliaron su arsenal para incluir:

  • Descargas no autorizadas desde sitios comprometidos
  • Instaladores MSI maliciosos
  • Campañas de publicidad maliciosa

Se ha observado que Matanbuchus implementa cargas útiles secundarias como DanaBot, QakBot y Cobalt Strike, que a menudo se utilizan como trampolines para infecciones de ransomware.

Matanbuchus 3.0: Funciones y capacidades avanzadas

La última versión, Matanbuchus 3.0, introduce mejoras sustanciales para optimizar el sigilo y la persistencia. Las principales mejoras incluyen:

  • Técnicas avanzadas de protocolo de comunicación
  • Ejecución en memoria para sigilo
  • Ofuscación mejorada para evadir la detección
  • Compatibilidad con shell inverso a través de CMD y PowerShell
  • Capacidad de ejecutar cargas útiles de DLL, EXE y shellcode

Esta evolución subraya el papel del malware en la facilitación de ataques avanzados de múltiples etapas.

Explotación en el mundo real: Ingeniería social a través de Microsoft Teams

Los investigadores descubrieron una campaña de julio de 2025 dirigida a una empresa anónima. Los atacantes se hicieron pasar por personal del servicio de asistencia de TI durante llamadas externas de Microsoft Teams, persuadiendo a los empleados a iniciar Quick Assist para el acceso remoto. Esto les permitió ejecutar un script de PowerShell que implementaba Matanbuchus.

Estas tácticas reflejan métodos de ingeniería social previamente vinculados al grupo de ransomware Black Basta, lo que indica una superposición creciente entre las operaciones del cargador y del ransomware.

Bajo el capó: cadena de infección y persistencia

Una vez que las víctimas ejecutan el script proporcionado, se descarga un archivo. Contiene:

  • Un actualizador de Notepad++ renombrado (GUP)
  • Un archivo de configuración XML modificado
  • Una DLL maliciosa que representa el cargador

Tras la ejecución, Matanbuchus recopila datos del sistema, verifica las herramientas de seguridad y confirma los niveles de privilegio antes de transmitir la información a su servidor de Comando y Control (C2). Posteriormente, se entregan cargas útiles adicionales como paquetes MSI o ejecutables. La persistencia se logra mediante la creación de tareas programadas mediante objetos COM y la inyección de shellcode, una técnica que combina simplicidad y sofisticación.

Sigilo y control: por qué es peligroso

El cargador admite funciones avanzadas, como consultas WQL y comandos remotos para recopilar información sobre procesos, servicios y aplicaciones instaladas. Puede ejecutar comandos del sistema como regsvr32, rundll32 y msiexec, e incluso realizar vaciado de procesos, lo que destaca su flexibilidad.

Los precios y el modelo de negocio detrás de la amenaza

Esta plataforma MaaS ha visto cómo sus precios se disparaban con su conjunto de características:

  • $10,000/mes para la versión HTTPS
  • $15,000/mes para la versión DNS

Estos costos reflejan la efectividad del malware y su demanda en el ecosistema del ciberdelito.

Matanbuchus y el panorama general de la evolución de MaaS

La última versión ejemplifica la tendencia hacia los cargadores sigilosos que aprovechan LOLBins, el secuestro de COM y los staging de PowerShell para pasar desapercibidos. Su abuso de herramientas de colaboración como Microsoft Teams y Zoom complica aún más la seguridad empresarial. Los investigadores enfatizan la integración de la detección de cargadores en la gestión de la superficie de ataque a medida que estas amenazas continúan evolucionando.

Tendencias

Estafa por correo electrónico: La contraseña de la...

Suplantación de identidad (phishing), Correo basura
Los estafadores siguen creando campañas de correo electrónico engañosas para engañar a usuarios desprevenidos y conseguir que proporcionen información confidencial. Una de estas estafas que circula actualmente es la de la "Alerta de Seguridad Urgente", que se presenta bajo la apariencia de un mensaje titulado "La contraseña de la cuenta es antigua". Aunque a primera vista parecen legítimas,...

Mas Visto

Cargando...