Criminosos estão utilizando estratégias de engenharia social para disseminar o Matanbuchus, um malware loader, por meio do Microsoft Teams. A nova campanha foi identificada pela empresa de cibersegurança Morphisec e vem ocorrendo desde o início de julho.
Nos ataques mais recentes, os invasores se passam por profissionais de suporte técnico em chamadas no Microsoft Teams. Durante o falso atendimento, eles convencem a vítima a ativar o recurso Quick Assist, ferramenta de compartilhamento de tela do Windows, e a executar um script malicioso que ativa o Matanbuchus Loader no sistema.
Uma vez executado, o Matanbuchus opera diretamente na memória do computador. Essa abordagem evita a detecção por antivírus e permite a execução de malwares com altos níveis de privilégio, como ransomwares.
O que é o Matanbuchus
O Matanbuchus é um malware loader oferecido como serviço (Malware-as-a-Service) desde 2021. Inicialmente, ele era alugado por cerca de 2,5 mil dólares em fóruns de cibercrime.
Atualmente em sua versão 3.0, o malware conta com diversas melhorias e recursos adicionais:
- Técnicas avançadas de comunicação via protocolo;
- Execução de cargas maliciosas diretamente na memória;
- Métodos aprimorados de ofuscação para burlar soluções de segurança;
- Suporte a reverse shells via CMD e PowerShell;
- Execução de payloads secundários como DLL, EXE e shellcode.
O Matanbuchus 3.0 é disponibilizado para aluguel com planos mensais de 10 mil dólares na versão HTTPS e 15 mil dólares na versão DNS.
Quem são os alvos da campanha
A campanha recente do Matanbuchus tem como foco principal o ambiente corporativo. Usuários domésticos não são os principais alvos. Em empresas, é comum que funcionários recorram ao suporte de TI para resolver problemas técnicos, e é nesse cenário que os criminosos se aproveitam da confiança na equipe de manutenção para injetar o malware.
De acordo com Michael Gorelik, CTO da Morphisec, o ataque envolve um processo cuidadosamente montado:
As vítimas são cuidadosamente direcionadas e persuadidas a executar um script que desencadeia o download de um arquivo compactado. Este arquivo contém um atualizador renomeado do Notepad++ (GUP), um arquivo de configuração XML ligeiramente modificado e uma DLL maliciosa carregada lateralmente, representando o Matanbuchus Loader.
Quer ficar por dentro das ameaças mais recentes em cibersegurança e como elas afetam o ambiente corporativo? Siga o TecMundo no Instagram, TikTok, X (Twitter) e Facebook.
