網路安全研究人員發現了一種名為Matanbuchus的已知惡意軟體載入器的新變種，該變種包含重要功能以增強其隱蔽性並逃避檢測。Matanbuchus 是一種惡意軟體即服務 (MaaS) 產品的名稱，它可以充當下一階段有效載荷的管道，包括 Cobalt Strike 信標和勒索軟體。

Matanbuchus 的傳播手段不斷演變，利用指向 Google Drive 陷阱連結的釣魚郵件、從受感染網站進行的偷渡式下載、惡意 MSI 安裝程式以及惡意廣告。它也被用於部署各種輔助負載，包括 DanaBot、QakBot 和 Cobalt Strike，這些都是已知的勒索軟體部署的前兆。Morphisec 技術長 Michael Gorelik表示： “攻擊者精心鎖定目標，誘使受害者執行腳本，從而觸發下載某個壓縮包。該壓縮包包含一個重命名的 Notepad++ 更新程序 (GUP)、一個略作修改的配置 XML 文件，以及一個代表 Matanbuchus 加載程序的惡意側載 DLL。”

Gorelik 表示：「Matanbuchus 3.0 惡意軟體即服務已演變為一種複雜的威脅。此更新版本引入了先進的技術，例如改進的通信協議、內存隱身、增強的混淆功能，以及對 WQL 查詢、CMD 和 PowerShell 反向 Shell 的支持。”隨著惡意軟體即服務的發展，Matanbuchus 3.0 融入了更廣泛的趨勢，即依靠 LOLBins（living-off-the-land 二進位）、COM 物件劫持和 PowerShell 階段來保持低調。

威脅研究人員越來越多地將這些載入器作為攻擊面管理策略的一部分，並將其與 Microsoft Teams 和 Zoom 等企業協作工具的濫用聯繫起來。