Una sofisticada campaña cibernética ha surgido en julio de 2025, armando los equipos de Microsoft Llamadas para implementar la última iteración del ransomware Matanbuchus.
El ataque comienza con los adversarios que se hacen pasar por el personal de servicio de TI a través de las llamadas de equipos externos, aprovechando las tácticas de ingeniería social para convencer a los empleados de ejecutar guiones maliciosos.
Durante estas sesiones de apoyo fraudulentas, los atacantes activan asistencia rápida e instruyen a las víctimas que ejecutaran comandos de PowerShell que finalmente despliegan el cargador Matanbuchus 3.0, marcando una evolución significativa en los mecanismos de entrega del malware.
Matanbuchus, que funciona como una plataforma de malware como servicio (MAAS) desde 2021, ha sufrido mejoras sustanciales en su tercera iteración.
Flujo de ejecución (fuente – Morphisec)
El malware funciona como un cargador sofisticado diseñado principalmente para descargar y ejecutar cargas útiles secundarias en sistemas Windows comprometidos, que sirve como un punto de entrada crítico para varios ataques cibernéticos que con frecuencia culminan en la implementación de ransomware.
La última versión introduce capacidades avanzadas que incluyen mejores protocolos de comunicación, técnicas de ofuscación mejoradas y características integrales de reconocimiento del sistema que permiten a los atacantes adaptar los ataques posteriores basados en la infraestructura de seguridad de la víctima.
Analistas de Morphisec identificado Esta campaña durante el monitoreo activo de sus entornos de clientes, interceptando la variante HTTP de Matanbuchus 3.0 antes de su anuncio público en foros subterráneos.
Primer anuncio (Fuente – Morphisec)
El malware se ofrece actualmente en $ 10,000 para la variante HTTP y $ 15,000 para la variante DNS, lo que indica la confianza de los operadores en su efectividad y los recursos sustanciales invertidos en su desarrollo.
Los investigadores señalaron que la intercepción ocurrió antes del lanzamiento público del malware, lo que sugiere que los adversarios estaban distribuyendo el cargador HTTP dentro de los círculos confiables o utilizandolo en sus propias operaciones.
La metodología de ataque representa un cambio preocupante para aprovechar las plataformas de comunicación empresarial legítimas para fines maliciosos.
Las víctimas reciben llamadas de soporte de TI aparentemente auténticas a través de equipos de Microsoft, creando un entorno de confianza que facilita la ejecución de instrucciones maliciosas.
El uso de la asistencia rápida por parte de los atacantes, una herramienta legítima de asistencia remota de Microsoft, legitima aún más su presencia en los sistemas de víctimas al tiempo que proporciona el acceso necesario para implementar sus cargas útiles maliciosas.
Esta campaña demuestra el panorama en evolución de los mecanismos de entrega de ransomware, donde los ataques tradicionales de phishing basados en el correo electrónico se complementan con una comunicación de voz directa a través de plataformas de confianza.
Syscall Opcode (fuente – Morphisec)
La combinación de ingeniería social a través de llamadas de equipos y la sofisticación técnica de Matanbuchus 3.0 crea una amenaza formidable que puede evitar la capacitación tradicional de conciencia de seguridad y controles técnicos.
Mecanismos avanzados de persistencia y evasión
El cargador Matanbuchus 3.0 emplea un mecanismo de persistencia sofisticado que aprovecha el programador de tareas de Windows a través de la manipulación de COM y la ejecución de los códigos de shell.
EventLogBackupTask (Fuente – Morphisec)
Tras una infección inicial exitosa, el malware crea una tarea programada llamada “EventLogBackupTask” que se ejecuta cada cinco minutos, asegurando la presencia continua del sistema y la comunicación de comando y control.
GetTokenInformation (fuente – Morphisec)
La implementación de persistencia utiliza una combinación única de parámetros REGSVR32: REGSVR32 -E -N -I: “Usuario”.
Esta técnica es particularmente evasiva ya que el parámetro -E se ejecuta en silencio al suprimir los errores, el parámetro -n permite que el cargador se ejecute sin modificar el registro, y el parámetro -i: “Usuario” desencadena automáticamente la función DllInstall exportada.
Este enfoque se monitorea significativamente menos que las funciones tradicionales de DllRregisterserver o DllunRegisterserver, lo que hace que la detección sea más desafiante para las soluciones de seguridad.
La comunicación de comando y control del malware demuestra técnicas de evasión avanzada al hacerse pasar por el tráfico de escritorio de Skype legítimo.
El cargador utiliza la cadena de agente de usuario Skype/8.69.0.77 (Windows NT 10.0; Win64; x64) AppleWebkit/537.36 (khtml, como gecko) Chrome/91.0.4472.124 Safari/537.36 para combinar el tráfico normal de la red mientras se comunica con el servidor C2 en Nices en Nicetwk ().)
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
