عاد برنامج Matanbuchus، وهو خدمة تحميل برمجيات خبيثة متميزة، للظهور في فبراير 2026 بعد توقف دام قرابة عام. يأتي هذا الإصدار الجديد، Matanbuchus 3.0، بتحديث شامل للكود ويتطلب الآن رسوم اشتراك تصل إلى 15,000 دولار شهريًا، وهو ارتفاع كبير عن الأسعار السابقة.
يشير هذا التحول في النموذج التجاري إلى تركيز أكبر على العمليات المستهدفة عالية القيمة بدلاً من حملات البريد العشوائي واسعة النطاق. يعتمد Matanbuchus على تكتيك “ClickFix” الهندسي الاجتماعي، الذي يخدع المستخدمين لتنفيذ أوامر خبيثة يدويًا تحت ستار حل مشكلات وهمية في المتصفح أو تحديثات البرامج.
عودة Matanbuchus 3.0 بتقنيات متقدمة
يستغلMatanbuchus 3.0، في نسخته الجديدة، تكتيك “ClickFix” لخداع المستخدمين. بدلاً من استغلال الثغرات الأمنية في البرامج، يعتمد البرنامج على التلاعب بالثقة البشرية. يعرض على الضحايا أوامر مضللة تطالبهم بنسخ ولصق أوامر PowerShell أو Run محددة.
تستخدم عناوين URL الخبيثة علامات الشرطة المائلة المتتابعة لتضليل أنظمة تسجيل الأحداث. نظرًا لأن المستخدم هو من يبدأ العملية فعليًا، يتم تجاوز العديد من دفاعات البريد الإلكتروني والشبكة القياسية. بمجرد التنفيذ، تبدأ عملية تثبيت صامتة تعمل دون أي واجهة مستخدم مرئية.
حدد محللو Huntress أن هذه الحملة قامت بتسليم حمولة لم يتم رؤيتها من قبل تُعرف باسم AstarionRAT فور الإصابة. تم تجهيز هذا الروبوت المخصص للوصول عن بعد (RAT) بأربع وعشرين أمرًا مميزًا، بما في ذلك سرقة بيانات الاعتماد واستخدام SOCKS5. يحدث التأثير غالبًا على الفور، حيث يتحرك المهاجمون أفقيًا عبر الشبكة في غضون أربعين دقيقة لاستهداف وحدات التحكم في النطاق (Domain Controllers).
سلسلة الإصابة الصامتة
تبدأ آلية الإصابة بتنفيذ المستخدم لأمر msiexec مختلط الأحرف، والذي يستجلب حمولة من نطاق تم تسجيله حديثًا. بعد التنفيذ، يقوم المثبت بإسقاط ملف ثنائي شرعي ولكنه قابل للاستغلال من برنامج Zillya Antivirus، بالإضافة إلى ملف DLL خبيث، في مجلدات وهمية تحمل أسماء شركات زائفة مثل “AegisLynx” أو “DocuRay”.
لإخفاء أنشطته بشكل أكبر، يستخدم Matanbuchus إصدارًا معاد تسميته من أداة 7-Zip لاستخراج أرشيف محمي بكلمة مرور يحتوي على مكونات المرحلة التالية. ثم يتم تحميل ملف DLL الخبيث جنبًا إلى جنب مع محرك مكافحة الفيروسات لفك تشفير محمل Matanbuchus.
تؤدي سلسلة العمليات المعقدة هذه في النهاية إلى تشغيل مفسر Lua مضمن، يقوم بتنفيذ حمولة AstarionRAT النهائية مباشرة في الذاكرة، تاركًا آثارًا ضئيلة على القرص للمحققين. يجب على فرق الأمن تكوين أنظمة اكتشاف نقاط النهاية لتحديد أوامر msiexec التي تحتوي على أحرف مختلطة أو أنماط عناوين URL مشبوهة.
من الأهمية بمكان مراقبة إنشاء مجلدات غير عادية في %APPDATA% والتحقق من اتصالات الشبكة بالنطاقات المسجلة حديثًا. وأخيرًا، يجب تدريب الموظفين على عدم لصق الأوامر الخام في أجهزتهم الطرفية لتجنب الإصابة ببرمجيات Matanbuchus الخبيثة.