Uma nova e sofisticada campanha de malware está a utilizar chamadas no Microsoft Teams para enganar as vítimas, fazendo-se passar por um serviço de suporte técnico legítimo. O objetivo é distribuir o Matanbuchus, um perigoso loader de malware que executa payloads maliciosos diretamente na memória do sistema para contornar a deteção.
O que é o Matanbuchus?
O Matanbuchus surgiu pela primeira vez no início de 2021, promovido em fóruns da dark web como uma operação de Malware-como-um-Serviço (MaaS). Anunciado com um preço de 2.500 dólares (cerca de 2.300 euros), este loader para Windows especializa-se em abrir as portas do sistema para outras ameaças. Em campanhas anteriores, já foi observado a ser utilizado para distribuir beacons do Cobalt Strike, uma conhecida ferramenta de ciberataque.
A porta de entrada: Microsoft Teams e Quick Assist
Os atacantes têm demonstrado uma clara preferência pelo Microsoft Teams para obter o acesso inicial aos sistemas das suas vítimas. O método de ataque recorre à engenharia social, onde o atacante inicia uma chamada externa no Teams, assumindo a identidade de um técnico do suporte de TI.
Durante a chamada, a vítima é convencida a iniciar o Quick Assist, uma ferramenta de suporte remoto integrada no próprio Windows. Ao fazê-lo, o atacante ganha acesso interativo e remoto ao computador, instruindo depois o utilizador a executar um script PowerShell. Este script descarrega um ficheiro ZIP que contém os componentes necessários para instalar o loader Matanbuchus através de uma técnica conhecida como DLL side-loading.
Matanbuchus 3.0: mais sofisticado e evasivo do que nunca
A versão mais recente, analisada pelos investigadores da empresa de cibersegurança Morphisec, introduz melhorias significativas que o tornam ainda mais perigoso e difícil de detetar.
Criptografia reforçada: A comunicação com os servidores de comando e controlo (C2) e a ofuscação de strings passaram a usar o algoritmo Salsa20, em vez do anterior RC4.
Execução em memória: Os payloads maliciosos são agora lançados diretamente na memória, evitando deixar rastos no disco.
Técnicas anti-sandbox: O malware inclui uma nova rotina de verificação para garantir que só é executado em sistemas de vítimas reais e não em ambientes de análise de segurança.
Evasão de EDR: Em vez de usar funções API do Windows, que são monitorizadas por ferramentas de segurança (EDR/AV), o Matanbuchus 3.0 executa chamadas de sistema (syscalls) diretas através de shellcode personalizado.
Ofuscação avançada: As chamadas API são ainda mais escondidas através da função de hash não-criptográfica ‘MurmurHash3’, complicando a engenharia inversa e a análise estática do código.
Capacidades pós-infeção e recolha de dados
Uma vez instalado, o Matanbuchus 3.0 pode executar uma vasta gama de comandos, incluindo scripts PowerShell, ficheiros executáveis (EXE), DLLs, instaladores MSI e payloads de shellcode.
O malware dedica-se também a recolher informações detalhadas sobre o sistema infetado, como o nome de utilizador, domínio, versão do sistema operativo, processos de antivírus ou EDR em execução e o nível de privilégios do seu próprio processo (administrador ou utilizador comum). A análise da Morphisec sugere que os métodos de ataque subsequentes são adaptados com base nas ferramentas de segurança presentes no computador da vítima.
Nenhum comentário
Seja o primeiro!