Notepad++ с привкусом вредоноса: Matanbuchus учится маскировке и атакует через Teams

Эксперты в области информационной безопасности сообщили о новой версии вредоносного загрузчика Matanbuchus 3.0, которая получила серьёзные улучшения в плане скрытности и функционала. Загрузчик, ранее продававшийся за $2 500 как услуга для киберпреступников, теперь арендуется по цене до $15 000 и активно используется для доставки других зловредов, включая Cobalt Strike и программы-вымогатели.

Одной из особенностей новой атаки стала подмена обновления Notepad++. Вместо обычного установщика использовался архив с подменённым XML-конфигом и DLL-файлом, содержащим сам Matanbuchus. В ход также шла социальная инженерия: через Microsoft Teams «техподдержка» убеждала жертву запустить Quick Assist и выполнить PowerShell-скрипт для установки вредоноса.

Новая версия Matanbuchus работает исключительно из памяти, не записывая себя на диск, и поддерживает загрузку EXE, DLL и shellcode-компонентов. Программа умеет собирать системную информацию, избегать антивирусов, использовать команды regsvr32, rundll32, msiexec, а также техники вроде Process Hollowing. Постоянство обеспечивается через COM-объекты и задачи планировщика.

Эксперты предупреждают: злоумышленники всё чаще применяют легитимные каналы связи, такие как Teams и Zoom, чтобы обойти периметровую защиту. Matanbuchus 3.0 — не просто обновлённый вредонос, а универсальный инструмент, способный долгое время оставаться незамеченным в корпоративной сети.