Хакеры используют звонки через Teams для захвата систем

Опасный загрузчик вредоносного ПО Matanbuchus преобразовался в версию 3.0, которая позволяет атакующим проводить скрытые операции, в результате которых происходят заражения вымогательскими вирусами.

Matanbuchus функционирует как Malware-as-a-Service (MaaS) с 2021 года, позволяя киберпреступникам проникнуть в системы Windows перед установкой дополнительного разрушительного вредоносного ПО.

Последняя версия добавила мощные инструменты. «Matanbuchus 3.0 был представлен с существенными обновлениями в своем арсенале», — сказали исследователи в Morphisec. Обновленная версия включает новые методы доставки, улучшенные коммуникационные протоколы, функции скрытия в памяти и обхода системы безопасности. Он даже имитирует приложения, такие как Skype, чтобы скрыть свою активность.

В отчете Morphisec отмечается, что один тревожный случай произошел в июле 2025 года. Злоумышленник выдавал себя за IT-специалиста через поддельный звонок в Microsoft Teams. Злоумышленник обманул сотрудника, заставив его выполнить скрипт, который тайно развернул Matanbuchus.

Morphisec объясняет, что скрипт распаковывал zip-файл с переименованным обновлением Notepad++ и поврежденным файлом конфигурации. Эта версия обманула пользователей, используя почти идентичный домен: вместо реального сайта ‘notepad-plus-plus.org’, злоумышленники использовали ‘notepad-plus-plu[.]org’.

После установки вредоносное ПО проводит проверку системы, чтобы убедиться, что оно работает на настоящем компьютере, а не в тестовой среде. Вредоносное ПО крадет системные данные, включая информацию о пользователе, детали безопасности программного обеспечения и спецификации операционной системы. Злоумышленники получают зашифрованные украденные данные, на основании которых они выбирают свой следующий курс действий, включая развертывание вредоносного ПО или вымогательского ПО.

Вредоносное ПО Matanbuchus 3.0 стоит $10,000 за версию HTTP, в то время как версия DNS требует инвестиции в $15,000, как сообщает Morphisec. База кода позволяет пользователям выполнять команды через CMD, PowerShell и WQL, собирать установленные приложения и обновления, а также выполнять глубокие операции на уровне системы, включая внедрение процессов.

С его продвинутыми функциями маскировки и широким набором инструментов, эксперты из Morphisec предупреждают, что Matanbuchus 3.0 представляет «значительную угрозу для скомпрометированных систем». Командам по кибербезопасности рекомендуется оставаться настороже в отношении признаков этого вредоносного ПО и обучать персонал угрозам социальной инженерии.