Matanbuchus 3.0: downloader usado para ransomware e persistência | Riscos e Ameaças

Pesquisadores identificaram Matanbuchus 3.0, um downloader em C++ oferecido como MaaS desde 2020, usado para distribuir Rhadamanthys, NetSupport e implantar mecanismos de persistência via tarefas agendadas; técnicas incluem ChaCha20, MurmurHash e Protocol Buffers.

Pesquisas identificaram Matanbuchus 3.0 como um downloader em C++ utilizado para distribuir payloads secundários (incluindo robôs de acesso remoto e stealers) e estabelecer persistência, permitindo cadeias que podem evoluir para ataques de ransomware.

Descoberta e panorama

Matanbuchus atua como malware downloader desde 2020, ofertado como Malware-as-a-Service, e passou por evolução observada em julho de 2025 com a versão 3.0 em operações reais. Analistas relataram seu uso em campanhas que entregaram, entre outros, o information stealer Rhadamanthys e o NetSupport RAT.

Vetor de entrada e processo de infecção

Os operadores costumam iniciar o acesso explorando o utilitário legítimo QuickAssist do Windows combinado com engenharia social para induzir vítimas a permitir conexões. Em seguida, é comum um download via linha de comando de um pacote Microsoft Installer (MSI) que contém um executável denominado HRUpdate.exe. Esse binário sideloads uma DLL maliciosa que funciona como o módulo downloader do Matanbuchus, que por sua vez baixa o módulo principal de servidores controlados pelo atacante.

Técnicas de evasão e persistência

A versão 3.0 introduz e amplia técnicas de ofuscação e comunicação. Entre os mecanismos descritos estão:

uso do algoritmo ChaCha20 para cifrar strings em tempo de execução;
resolução dinâmica de APIs do Windows via MurmurHash;
serialização de dados de rede com Protocol Buffers para comunicações mais estruturadas com o comando e controle (C2);
loops de longa duração que atrasam a carga de execução por vários minutos, visando escapar de detecções em sandboxes comportamentais;
download de shellcode que cria tarefas agendadas para garantir persistência após reinícios.

Impacto e alcance

Como downloader, o papel do Matanbuchus é entregar cargas adicionais que executam funções distintas — roubo de credenciais/ dados (stealers), acesso remoto (RATs) e facilitação de cadeias de ataque para ransomware. A modularidade e a oferta como serviço permitem que diferentes grupos maliciosos o incorporem em campanhas, ampliando seu alcance e velocidade de operação.

Mitigações e detecção

monitorar atividades relacionadas ao uso de QuickAssist e autorizações remotas inesperadas;
inspecionar execuções de instaladores MSI não tradicionais e traços de sideloading (ex.: HRUpdate.exe carregando DLLs não assinadas);
analisar padrões de comunicação que utilizem Protocol Buffers e conexões para servidores desconhecidos;
adotar controles de execução (application control), detecção de comportamento e hardening de contas com privilégios para dificultar movimentos laterais;
garantir que backups e planos de resposta a incidentes estejam testados, considerando o risco de encadeamento para ransomware.

Limitações das informações

As fontes não trazem indicadores de compromisso (IoCs) completos, CVEs ou métricas sobre número de vítimas. Também não há atribuição de grupos específicos nem evidência pública de exploração em larga escala com contagens precisas. Onde os detalhes não são publicados, é necessário basear investigações na telemetria local e em compartilhamento de inteligência relevante.

Recomendações operacionais

Equipes de defesa devem priorizar a identificação de vetores de entrada baseados em assistência remota e revisão de políticas de sideloading e execução de binários. A combinação de hardening, monitoramento de processos anômalos e revisão de políticas de autorização remota reduz a superfície de ataque explorada por campanhas que usam Matanbuchus. Por ser uma ferramenta modular vendida como serviço, a detecção precoce e o bloqueio de comunicações C2 são essenciais para interromper cadeias que podem culminar em ransomware.