Os agentes de ameaças estão cada vez mais abusando do downloader malicioso Matanbuchus como um facilitador essencial para operações práticas de ransomware no teclado, usando seus recursos semelhantes aos de backdoor para entregar cargas secundárias, mover-se lateralmente e manter persistência de longo prazo em sistemas comprometidos.
Inicialmente observado em 2020 e oferecido como Malware-as-a-Service (MaaS), o Matanbuchus tem evoluído constantemente, com a versão 3.0 identificada em julho de 2025, introduzindo serialização de rede mais sofisticada e recursos de criptografia.
Matanbuchus é escrito em C++ e funciona principalmente como um downloader e backdoor, projetado para buscar e executar cargas adicionais.
Consiste em dois componentes principais: um módulo de download dedicado e um módulo principal. O downloader recupera e inicia o módulo principal, que, por sua vez, fornece uma estrutura flexível de comando e controle (C2) que permite que os agentes de ameaças executem binários, scripts, shellcode e até cargas úteis .NET diretamente na memória.
Essa flexibilidade tornou o Matanbuchus cada vez mais atraente para operadores de ransomware que buscam ferramentas confiáveis de acesso inicial e controle pós-exploração.
Atividade recente observada pelo Zscaler ThreatLabz destaca uma campanha na qual os invasores usaram o QuickAssist da Microsoft, provavelmente combinado com engenharia social, para obter acesso remoto aos sistemas das vítimas.
Assim que o acesso foi estabelecido, o agente da ameaça executou um ataque malicioso Instalador da Microsoft (MSI) de um domínio comprometido, que entregou um executável que transferiu uma DLL maliciosa.
Visão geral do malware Matanbuchus
Esta DLL atuou como o downloader do Matanbuchus, extraindo o módulo principal de um endpoint C2 remoto. O ThreatLabz avalia com confiança média que essas ações faziam parte de uma cadeia mais ampla de implantação de ransomware.
Matanbuchus emprega extensos mecanismos de ofuscação e anti-análise para evitar a detecção e impedir a engenharia reversa.
As strings são armazenadas em formato criptografado e descriptografadas em tempo de execução usando a cifra de fluxo ChaCha20, com strings criptografadas e metadados organizados em arrays dedicados.
As funções da API do Windows são resolvidas dinamicamente por meio de hashing baseado em MurmurHash, e a base de código é intercalada com instruções inúteis para frustrar a análise estática.
O downloader incorpora ainda loops “ocupados” de longa duração para atrasar a execução em vários minutos, tentando ultrapassar os tempos limites típicos do sandbox.
A comunicação em rede é igualmente reforçada. O downloader inclui shellcode criptografado incorporado que é descriptografado usando uma técnica de força bruta de texto simples conhecido contra chaves ChaCha20 construídas a partir de uma semente inteira decrescente.
Uma vez descriptografado, esse shellcode baixa o módulo principal por HTTPS e o descriptografa usando ChaCha20, dividido em blocos para processar grandes cargas com eficiência.
Com a versão 3.0, Matanbuchus adotou Protocol Buffers (Protobufs) para serializar suas mensagens C2, agrupando dados Protobuf criptografados em pacotes personalizados que precedem uma chave aleatória e um nonce para cada solicitação.
Após a implantação, o módulo principal registra o host comprometido com o Servidor C2exfiltrando informações de host e usuário, incluindo nome de host, nome de usuário, versão e domínio do Windows, produtos de segurança instalados (como soluções EDR e XDR), arquitetura do sistema operacional e nível de privilégio.
Mitigações
Em seguida, ele grava um marcador de registro no hive do usuário atual para rastrear o estado do registro e estabelece persistência executando o shellcode entregue por C2 que cria uma tarefa agendada chamada “Atualizar tarefa do rastreador”.
Esta tarefa inicia msiexec.exe com parâmetros que apontam para uma cópia nomeada aleatoriamente do malware armazenada em um diretório gerado exclusivamente na pasta APPDATA, vinculado ao número de série do volume do sistema.
A partir daí, Matanbuchus atua como um backdoor completo. Ele suporta comandos para baixar e executar EXEs, DLLs, Pacotes MSIe código de shell; enumerar processos, serviços, software e atualizações do Windows; execute comandos do sistema via CMD, PowerShell ou WMI; e até mesmo encerrar-se.
O ThreatLabz também documentou campanhas em que o Matanbuchus foi usado para distribuir o ladrão de informações Rhadamanthys e o NetSupport RAT, destacando seu papel como plataforma de distribuição versátil.
Juntamente com a atividade prática observada no teclado e uma associação crescente com afiliados de ransomware, o Matanbuchus representa uma capacidade MaaS madura e em evolução que reduz significativamente a barreira para a condução de operações complexas de intrusão e extorsão.
Indicadores de Compromisso (IOCs)
| Hash SHA256 | Descrição |
|---|---|
| 92a2e2a124a106af33993828fb0d4cdffd9dac8790169774d672c30747769455 | Pacote Matanbuchus MSI |
| 6246801035e053df2053b2dc28f4e76e3595fb62fdd02b5a50d9a2ed3796b153 | Arquivo executável legítimo (HRUpdate.exe) usado para fazer o sideload do módulo de download |
| 3ac90c071d143c3240974618d395fa3c5228904c8bf0a89a49f8c01cd7777421 | Módulo de download do Matanbuchus |
| 77a53dc757fdf381d3906ab256b74ad3cdb7628261c58a62bcc9c6ca605307ba | Módulo principal do Matanbuchus |
| gpa-cro[.]com | URL do arquivo MSI malicioso |
| mechiraz[.]com | Servidor Matanbuchus C2 |
Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial emGoogle.