Devis de remise multi-licences
Données concernant les menaces Logiciels malveillants Logiciel malveillant Matanbuchus 3.0

Logiciel malveillant Matanbuchus 3.0

Par Mezo en Logiciels malveillants
Se traduisent par :

Matanbuchus est une célèbre plateforme de malware-as-a-service conçue pour diffuser des charges utiles de nouvelle génération, telles que les balises Cobalt Strike et les rançongiciels. Promu pour la première fois en février 2021 sur des forums russophones pour 2 500 dollars, ce malware est rapidement devenu un choix incontournable pour les acteurs malveillants. Les attaquants l'ont utilisé dans des campagnes de type ClickFix, piégeant les utilisateurs via des sites web légitimes mais compromis.

Tactiques de livraison et évolution des vecteurs de menace

Les techniques de diffusion du logiciel malveillant sont devenues de plus en plus sophistiquées. Les campagnes initiales reposaient largement sur des e-mails de phishing redirigeant les victimes vers des liens Google Drive malveillants. Au fil du temps, les attaquants ont élargi leur arsenal pour inclure :

  • Téléchargements furtifs à partir de sites compromis
  • Installateurs MSI malveillants
  • Campagnes de malvertising

Matanbuchus a été observé en train de déployer des charges utiles secondaires comme DanaBot, QakBot et Cobalt Strike, qui sont souvent utilisées comme tremplins vers des infections par ransomware.

Matanbuchus 3.0 : fonctionnalités et capacités avancées

La dernière version, Matanbuchus 3.0, apporte des améliorations substantielles pour améliorer la furtivité et la persistance. Parmi les principales améliorations, on trouve :

  • Techniques avancées de protocole de communication
  • Exécution en mémoire pour la furtivité
  • Obfuscation améliorée pour échapper à la détection
  • Prise en charge du shell inversé via CMD et PowerShell
  • Possibilité de lancer des charges utiles DLL, EXE et shellcode

Cette évolution souligne le rôle des logiciels malveillants dans la facilitation d’attaques avancées en plusieurs étapes.

Exploitation dans le monde réel : ingénierie sociale via Microsoft Teams

Des chercheurs ont découvert une campagne datant de juillet 2025 ciblant une entreprise anonyme. Les attaquants se sont fait passer pour des membres du service d'assistance informatique lors d'appels externes Microsoft Teams, persuadant les employés d'activer Quick Assist pour un accès à distance. Cela leur a permis d'exécuter un script PowerShell déployant Matanbuchus.

De telles tactiques reflètent les méthodes d’ingénierie sociale précédemment liées au groupe de ransomware Black Basta, indiquant un chevauchement croissant entre les opérations de chargement et de ransomware.

Sous le capot : chaîne d’infection et persistance

Une fois le script exécuté, une archive est téléchargée. Elle contient :

  • Un programme de mise à jour renommé de Notepad++ (GUP)
  • Un fichier de configuration XML modifié
  • Une DLL malveillante représentant le chargeur

Après exécution, Matanbuchus collecte les données système, vérifie les outils de sécurité et confirme les niveaux de privilèges avant de transmettre les informations à son serveur de commande et de contrôle (C2). Des charges utiles supplémentaires sont ensuite livrées sous forme de packages MSI ou d'exécutables. La persistance est assurée par la création de tâches planifiées à l'aide d'objets COM et l'injection de shellcode, une technique alliant simplicité et sophistication.

Furtivité et contrôle : pourquoi c’est dangereux

Le chargeur prend en charge des fonctionnalités avancées, notamment les requêtes WQL et les commandes distantes pour collecter des informations sur les processus, les services et les applications installées. Il peut exécuter des commandes système telles que regsvr32, rundll32, msiexec, et même effectuer du « process hollowing », ce qui souligne sa flexibilité.

Tarification et modèle économique derrière la menace

Cette plateforme MaaS a vu ses prix monter en flèche grâce à son ensemble de fonctionnalités :

  • 10 000 $/mois pour la version HTTPS
  • 15 000 $/mois pour la version DNS

Ces coûts reflètent l’efficacité des logiciels malveillants et la demande dans l’écosystème de la cybercriminalité.

Matanbuchus et l’évolution du MaaS dans son ensemble

La dernière version illustre la tendance des chargeurs furtifs exploitant les LOLBins, le détournement de COM et les outils PowerShell pour rester indétectables. Son utilisation abusive d'outils de collaboration comme Microsoft Teams et Zoom complique encore davantage la sécurité des entreprises. Face à l'évolution constante de ces menaces, les chercheurs insistent sur l'intégration de la détection des chargeurs dans la gestion de la surface d'attaque.

Tendance

Arnaque par e-mail : le mot de passe du compte est...

Hameçonnage, Courrier indésirable
Les escrocs continuent de concevoir des campagnes d'e-mails trompeuses pour inciter les utilisateurs peu méfiants à divulguer des informations sensibles. L'une de ces escroqueries circule actuellement : l'« alerte de sécurité urgente », qui se présente sous la forme d'un message intitulé « Mot de passe du compte obsolète ». Bien qu'apparemment légitimes à première vue, ces...

Le plus regardé

Chargement...