Investigadores en ciberseguridad han alertado sobre una nueva variante del conocido loader de malware, Matanbuchus, que ha evolucionado a una versión más avanzada, Matanbuchus 3.0. Esta nueva iteración presenta características mejoradas que le permiten evadir la detección con mayor eficacia, consolidándose como un servicio de malware (MaaS, por sus siglas en inglés) que puede actuar como canal para cargas útiles más sofisticadas, incluyendo ransomware.
Un problema que ya lleva tiempo dando coletazos
Inicialmente anunciado en foros de cibercriminalidad en febrero de 2021, Matanbuchus comenzó a ofrecerse por un precio de renta de $2,500 mensuales. Sin embargo, este costo ha aumentado considerablemente, alcanzando hasta $10,000 y $15,000 para las versiones HTTPS y DNS, respectivamente. A diferencia de otros loaders que suelen propagarse a través de correos electrónicos no deseados, Matanbuchus se despliega principalmente mediante tácticas de ingeniería social que engañan a los usuarios para que ejecuten scripts maliciosos.
La versión 3.0 del malware incorpora un protocolo de comunicación mejorado, capacidades en memoria y métodos de ofuscación avanzados. Además, soporta comandos de CMD y PowerShell, y es capaz de ejecutar cargas útiles en forma de DLL, EXE y shellcode. Una vez activado, recopila información del sistema y detecta la presencia de herramientas de seguridad para establecer tareas programadas que le permitan mantener su persistencia en el objetivo.
Recientemente, se observó un incidente en el que Matanbuchus fue empleado para manipular llamadas externas de Microsoft Teams, haciéndose pasar por un servicio técnico de TI, lo que llevó a los empleados a ejecutar un script de PowerShell que desplegaba el malware. Estos métodos organizados y dirigidos lo diferencian de los típicos loaders disponibles en el mercado, convirtiendo a Matanbuchus 3.0 en una amenaza relevante para las empresas y sus usuarios.
