La nueva versión del malware Matanbuchus, conocida como Matanbuchus 3.0, está causando alarma en la comunidad de ciberseguridad. Aunque este loader malicioso lleva al menos cuatro años en circulación, su evolución más reciente lo convierte en una amenaza mucho más sofisticada, capaz de penetrar incluso en entornos empresariales protegidos. Su método de entrada: nada menos que Microsoft Teams, una plataforma de comunicación utilizada por millones de empresas en todo el mundo.Un ataque cuidadosamente dirigidoA diferencia de los ataques masivos y aleatorios que buscan víctimas al azar, Matanbuchus 3.0 se enfoca en objetivos específicos. Las víctimas son seleccionadas meticulosamente, y los atacantes se hacen pasar por el equipo de soporte técnico de la organización, iniciando una llamada de Teams que parece legítima. Es un ejemplo claro de ingeniería social, una técnica antigua pero todavía efectiva.Durante la conversación, se persuade al usuario para que ejecute un script. Este script descarga un archivo comprimido que contiene tres componentes: un actualizador modificado de Notepad++ (conocido como GUP), un archivo XML de configuración alterado y una DLL maliciosa que actúa como el loader de Matanbuchus.Un viejo truco con una nueva caraAunque el ataque tiene capas de sofisticación técnica, en su núcleo utiliza tácticas conocidas desde hace años. Uno de los archivos apunta a un dominio malicioso con una URL engañosa: notepad-plus-plu.org, que imita al legítimo dominio del popular editor de texto Notepad++. Este tipo de dominio, conocido como «cybersquatting», busca aprovechar errores tipográficos para engañar a los usuarios.En campañas anteriores (como la de septiembre de 2024), los atacantes usaron un instalador MSI para activar el mismo flujo de carga, utilizando técnicas de sideloading, que consiste en aprovechar archivos aparentemente legítimos para ejecutar código malicioso.Características avanzadas de Matanbuchus 3.0Lo que diferencia a esta versión del malware no es solo su modo de entrada, sino su arsenal técnico. Matanbuchus 3.0 ha sido descrito como una herramienta muy avanzada por la firma de ciberseguridad Morphisec. Algunas de sus capacidades más destacadas incluyen:Protocolos de comunicación mejorados que dificultan su detección.Técnicas de ofuscación que esconden el verdadero propósito del malware.Ejecución en memoria (in-memory execution) para evitar dejar rastros en el disco duro.Soporte para comandos complejos, como WQL queries, uso de CMD y shells inversos en PowerShell.Capacidad para recolectar información detallada del sistema, incluyendo los controles de seguridad EDR instalados.Esta información recopilada le permite personalizar futuros ataques, que en muchos casos culminan en el despliegue de ransomware.Una herramienta peligrosa al alcance de muchosOtro elemento preocupante es que Matanbuchus 3.0 está disponible como Malware-as-a-Service (MaaS), es decir, cualquier persona con el dinero suficiente puede adquirirlo. Según Morphisec, la versión basada en HTTP se ofrece por 10.000 dólares, mientras que la variante que usa DNS cuesta 15.000 dólares. Estas cifras, aunque altas, no están fuera del alcance de grupos delictivos con pocos escrúpulos y algunos recursos.Esta facilidad de acceso transforma a Matanbuchus 3.0 en una amenaza mucho más amplia, ya que no se requiere ser un experto para lanzarlo contra una organización.Qué deben hacer las empresas para protegerseFrente a amenazas como esta, la prevención y la educación son las mejores defensas. Aquí algunos consejos prácticos para evitar caer en este tipo de ataques:Capacitación continua: Enseñar a los empleados a identificar intentos de ingeniería social, especialmente aquellos que simulan ser soporte técnico.Revisión de dominios y enlaces: Antes de descargar cualquier archivo, verificar cuidadosamente que las URLs sean legítimas.Implementar controles de seguridad avanzados: Soluciones EDR, firewall con monitoreo de comportamiento, y sistemas de detección de anomalías pueden marcar la diferencia.Limitar permisos: Reducir los privilegios de ejecución en equipos corporativos impide que scripts maliciosos tomen el control fácilmente.Auditorías regulares: Revisar logs y patrones de tráfico puede ayudar a detectar comportamientos sospechosos antes de que sea demasiado tarde.Un recordatorio de que la seguridad comienza en lo humanoMatanbuchus 3.0 es una muestra más de cómo los atacantes combinan herramientas avanzadas con tácticas simples pero efectivas. Aunque la tecnología de defensa ha avanzado mucho, el eslabón más débil sigue siendo el factor humano. La confianza mal colocada o un clic impulsivo pueden abrir la puerta a ataques devastadores.En resumen, aunque los detalles técnicos de Matanbuchus 3.0 pueden parecer complejos, la clave para protegerse está en mantenerse informado, alerta y bien preparado.La noticia Matanbuchus 3.0: el peligroso malware que se infiltra a través de Microsoft Teams fue publicada originalmente en Wwwhatsnew.com por Natalia Polo.