يمثل برنامج Matanbuchus، وهو برنامج تنزيل برمجيات خبيثة خطيرة مكتوب بلغة C++، تهديدًا متزايدًا في الساحة السيبرانية. يعمل هذا البرنامج كخدمة برمجيات خبيثة (Malware-as-a-Service) منذ عام 2020، مما يتيح للمهاجمين استئجار الوصول إليه ونشره ضد المؤسسات المستهدفة.
في يوليو 2025، اكتشف باحثون أمنيون الإصدار 3.0 من Matanbuchus متورطًا في هجمات حقيقية، مما يشير إلى تطور ملحوظ في قدرات البرمجية الخبيثة ومدى تعقيدها.
تتضمن النسخة المحدثة ميزات جديدة مصممة لتجنب الاكتشاف وترسيخ سيطرة أقوى على الأنظمة المخترقة. يعمل Matanbuchus عن طريق تنزيل حمولات إضافية مباشرة على الأجهزة المصابة، مما يتيح للمهاجمين تنفيذ الأوامرت عن بعد.
ما يجعل Matanbuchus خطيرًا بشكل خاص هو بساطته جنبًا إلى جنب مع فعاليته. يمكن للمهاجمين ربط برنامج التنزيل هذا بسرعة بعمليات برمجيات الفدية (ransomware)، مما يتيح شن هجمات تشفير سريعة.
تُظهر الحملات الأخيرة تحولًا واضحًا في كيفية استغلال المجرمين السيبرانيين لهذه الأداة، متجاوزين سرقة البيانات البسيطة إلى عمليات برمجيات فدية منسقة يمكن أن تشل عمليات الأعمال.
تطور Matanbuchus وقدراته الأمنية
حدد محللون في Zscaler البرمجية الخبيثة كجزء من عدة حملات منسقة توزع حمولات ثانوية بما في ذلك برنامج سرقة المعلومات Rhadamanthys و NetSupport RAT. لاحظ الباحثون أن المهاجمين عادة ما يحصلون على الوصول الأولي من خلال QuickAssist، وهي أداة مساعدة عن بعد شرعية من Windows، جنبًا إلى جنب مع الهندسة الاجتماعية لخداع المستخدمين للتثبيت.
فهم كيفية حصول Matanbuchus على موطئ قدم أمر ضروري لاكتشاف هذه المراحل المبكرة من الاختراق. تبدأ عملية الإصابة عادةً عندما يستخدم المهاجمون QuickAssist للحصول على وصول للنظام، ثم يقومون بتنزيل حزمة تثبيت Microsoft الضارة عبر سطر الأوامر.
يحتوي ملف MSI هذا على ملف تنفيذي يسمى HRUpdate.exe يقوم بتحميل DLL ضار يعمل كوحدة تنزيل Matanbuchus. يقوم برنامج التنزيل بعد ذلك باسترداد الوحدة الرئيسية من خوادم يتحكم فيها المهاجمون. يسمح هذا النهج متعدد المراحل للمجرمين بتجنب اكتشاف الأدوات الأمنية أثناء التوزيع الأولي.
آليات التخفي والمقاومة
يمثل فهم الثبات عبر الاتصالات المشفرة جانبًا حاسمًا في تصميم Matanbuchus. تستخدم البرمجية الخبيثة تقنيات تشويش متقدمة، بما في ذلك تشفير ChaCha20 لحماية السلاسل عند وقت التشغيل، وخوارزمية MurmurHash لحل وظائف Windows API ديناميكيًا.
يقدم الإصدار 3.0 Protocol Buffers لتسلسل بيانات الاتصال بالشبكة، مما يتيح تفاعلات قيادة وسيطرة أكثر تطورًا. يقوم برنامج التنزيل أيضًا بتطبيق حلقات تشغيل طويلة تؤخر التنفيذ عمدًا لبضع دقائق، مما يسمح له بتجنب أنظمة اكتشاف المعاملات السلوكية (sandbox detection).
يشمل إنشاء الثبات shellcode الذي يتم تنزيله والذي ينشئ مهام مجدولة، مما يضمن بقاء البرمجية الخبيثة بعد إعادة تشغيل النظام. تعمل هذه الإجراءات التقنية معًا لإنشاء إصابة مرنة تحافظ على الوصول مع تجنب آليات الكشف الأمني التقليدية.
اتبعنا على Google News، LinkedIn، و X للحصول على المزيد من التحديثات الفورية، اجعل CSN مصدرًا مفضلًا في Google.