Expertos en ciberseguridad están poniendo el ojo en una nueva variante de Matanbuchus, un conocido loader de malware, que ahora viene con mejoras pensadas específicamente para hacerlo más sigiloso y difícil de detectar.
Para quien no esté familiarizado, Matanbuchus es parte del modelo de malware como servicio (MaaS), lo que significa que los cibercriminales pueden “alquilarlo” para distribuir otras amenazas más peligrosas. Este loader sirve como puerta de entrada para cargas maliciosas más pesadas, como las famosas balizas de Cobalt Strike o incluso ransomware.
Primero apareció en foros rusos de ciberdelincuencia en febrero de 2021, con un precio de alquiler inicial de unos 2.500 dólares, y desde entonces Matanbuchus ha evolucionado hasta convertirse en una herramienta mucho más avanzada y peligrosa. Se ha utilizado en campañas que se hacen pasar por servicios como ClickFix, engañando a los usuarios que visitan sitios aparentemente legítimos pero que han sido comprometidos.
A diferencia de muchos otros loaders que se distribuyen a través de correos spam o descargas masivas no autorizadas, Matanbuchus tiene un enfoque mucho más selectivo. Su distribución suele apoyarse en técnicas de ingeniería social directa, donde los atacantes manipulan manualmente a los usuarios para que ejecuten el malware.
En algunos casos, incluso se ha vinculado a tácticas usadas por grupos que venden accesos iniciales a operadores de ransomware, lo que lo convierte en una herramienta más estratégica y dirigida que los loaders tradicionales.
La versión más reciente, conocida como Matanbuchus 3.0, incluye una serie de mejoras técnicas que lo hacen aún más difícil de detectar y detener. Entre sus nuevas capacidades destacan:
Mejoras en los protocolos de comunicación
Ejecución completamente en memoria
Técnicas avanzadas de ofuscación
Soporte para shells inversos a través de CMD y PowerShell
Capacidad para ejecutar cargas útiles en formato DLL, EXE y shellcode
Recientemente se identificó un ataque que aprovechó una función legítima de Windows, como Quick Assist, en combinación con llamadas falsas desde Microsoft Teams, haciéndose pasar por personal de soporte técnico. A través de esta técnica, los atacantes lograron convencer a los trabajadores de una empresa a permitir el acceso remoto y ejecutar un script de PowerShell que desplegó Matanbuchus en sus sistemas.
Este tipo de engaño no es nuevo: tácticas similares han sido empleadas por grupos relacionados con operaciones de ransomware como Black Basta, donde las víctimas son cuidadosamente seleccionadas y convencidas para ejecutar scripts aparentemente inocentes.
En uno de estos casos, se utilizó un instalador modificado de Notepad++ junto con una DLL maliciosa, camuflada para pasar desapercibida, que terminaba por activar el loader.
Ahora, con su nueva versión 3.0, Matanbuchus se está comercializando por suscripciones mensuales mucho más costosas: unos 10.000 dólares para la edición que usa HTTPS y hasta 15.000 dólares si se quiere la versión con DNS, lo que indica claramente que se trata de una herramienta dirigida a grupos más organizados y con mayores recursos.
Visualización del flujo del ataque (Fuente: Morphisec)
Una vez que Matanbuchus se ejecuta en el sistema, lo primero que hace es recopilar información clave del entorno. Escanea los procesos activos para detectar herramientas de seguridad y verifica si se está ejecutando con privilegios administrativos. Este paso es fundamental para determinar qué tan profundamente puede operar dentro del equipo infectado.
Después del reconocimiento inicial, el malware se comunica con su servidor de comando y control (C2). Desde ahí recibe nuevas instrucciones o archivos maliciosos, generalmente en formato MSI o ejecutables portátiles, que se descargan para ampliar las capacidades del ataque.
Para mantenerse activo tras reinicios o cierres de sesión, Matanbuchus configura una tarea programada en el sistema. Aunque puede parecer un método común, en este caso se utiliza una técnica avanzada que combina objetos COM e inyección de shellcode, lo que hace que sea más difícil de detectar por herramientas de seguridad convencionales.
Podría interesarte leer: ¿Cómo proteger tu empresa de ataques de ransomware con TecnetProtect?
Esta nueva versión opera mayormente en memoria, evitando dejar rastros en disco, lo que la hace mucho más difícil de rastrear. Además, incorpora técnicas de ofuscación de código que complican el análisis estático y dinámico por parte de los analistas de malware.
Matanbuchus 3.0 también incluye soporte para comandos como regsvr32, rundll32, msiexec, así como shells inversos de CMD y PowerShell. Esto le permite realizar tareas avanzadas en el sistema comprometido sin levantar sospechas.
También puede ejecutar WQL (Windows Query Language) para consultar información del sistema, y realizar acciones automatizadas o remotas que son difíciles de distinguir de las actividades normales del usuario o del sistema operativo.
Siguiendo la tendencia actual entre los malware más sofisticados, esta versión hace uso de LOLBins (Living-off-the-Land Binaries), es decir, binarios legítimos de Windows utilizados de forma maliciosa. Junto con el secuestro de objetos COM y scripts de PowerShell, estas técnicas le permiten permanecer bajo el radar de muchas soluciones de seguridad tradicionales.
Con su capacidad de ejecutar múltiples tipos de cargas útiles, evadir la detección y obtener persistencia silenciosa, Matanbuchus 3.0 se posiciona como uno de los loaders más peligrosos del panorama actual de amenazas. Además, su modelo como malware-as-a-service (MaaS) permite que incluso atacantes con poca experiencia técnica lo utilicen, lo que amplifica su alcance y lo convierte en una herramienta al alcance de casi cualquiera en el ecosistema criminal.
Los analistas de amenazas lo están incorporando cada vez más en sus estrategias de gestión de superficie de ataque, ya que se está volviendo habitual en campañas dirigidas que combinan acceso inicial, movimiento lateral y despliegue de ransomware.
Ante este tipo de amenazas avanzadas, las empresas necesitan soluciones de ciberseguridad que no solo detecten el malware, sino que puedan prevenir el cifrado de archivos y proteger la continuidad del negocio. Plataformas como TecnetProtect ofrecen una defensa integral que combina copias de seguridad seguras, detección basada en comportamiento y protección contra ransomware en tiempo real, ayudando a las organizaciones a recuperarse rápidamente incluso si el malware logra penetrar las defensas iniciales.
Contar con una solución como TecnetProtect permite no solo responder a incidentes, sino también anticiparse a los vectores de ataque más comunes, como los loaders tipo Matanbuchus, y mantener protegida la infraestructura crítica de la empresa.