O loader de malware Matanbuchus tem sido distribuído através de engenharia social por meio de chamadas no Microsoft Teams, personificando o suporte de TI.
Matanbuchus é uma operação de malware-as-a-service que foi promovida pela primeira vez na dark web no início de 2021.
Era anunciado como um loader para Windows de US$ 2.500 que executa payloads maliciosas diretamente na memória para evitar detecção.
Em junho de 2022, o analista de ameaças Brad Duncan relatou que o loader de malware estava sendo usado para entregar beacons do Cobalt Strike em uma campanha de malspam em larga escala.
Pesquisadores da empresa de prevenção de ameaças em endpoints Morphisec descobriram que a versão mais recente analisada do Matanbuchus inclui capacidades aprimoradas de evasão, ofuscação e pós-comprometimento.
O Microsoft Teams tem sido abusado nos últimos anos para invadir organizações usando engenharia social para entregar o malware de primeira fase.
Normalmente, os atacantes infiltram-se no chat e enganam os usuários para baixar um arquivo malicioso que, então, introduz o payload inicial no sistema.
Em 2023, um pesquisador criou uma ferramenta especializada que explorava bugs no software para permitir a entrega de malware de contas externas.
No ano passado, os operadores do malware DarkGate abusaram do Microsoft Teams para entregar seu loader em alvos que usavam configurações laxistas de ‘Acesso Externo’.
De acordo com a Morphisec, os operadores da variante mais recente do Matanbuchus, 3.0, também mostram preferência pelo Microsoft Teams para acesso inicial.
O atacante inicia uma chamada externa do Microsoft Teams, posando como um suporte de TI legítimo, convencendo o alvo a lançar o Quick Assist, a ferramenta de suporte remoto integrada ao Windows.
O Quick Assist permite ao atacante ganhar acesso remoto interativo e prossegue instruindo o usuário a executar um script do PowerShell.
Este script baixa e extrai um arquivo ZIP com três arquivos que são usados para lançar o loader do Matanbuchus no dispositivo via side-loading de DLL.
A Morphisec relata que o Matanbuchus 3.0 introduz várias novas características e melhorias.
Os desenvolvedores mudaram a comunicação de comando e controle (C2) e a ofuscação de string de RC4 para Salsa20.
Os payloads agora são lançados na memória, e há uma nova rotina de verificação anti-sandbox para garantir que o malware seja executado apenas nos locais definidos.
Em vez de chamar funções da API do Windows, o malware agora executa syscalls via shellcode personalizado que contorna os wrappers da API do Windows e os hooks do EDR, escondendo ações que são comumente monitoradas por ferramentas de segurança.
As chamadas à API são ainda mais ofuscadas usando a função de hash não criptográfica ‘MurmurHash3’, o que dificulta a engenharia reversa e a análise estática.
Em relação às capacidades pós-infecção do Matanbuchus 3.0, ele pode executar comandos CMD, PowerShell ou payloads EXE, DLL, MSI e shellcode.
O malware coleta detalhes como nome de usuário, domínio, informações da construção do sistema operacional, processos de EDR/AV em execução e o status de elevação do seu processo (usuário admin ou regular).
A análise da Morphisec descobriu que o malware verifica os processos em execução para identificar ferramentas de segurança no sistema, notando que os métodos de execução enviados de volta do C2 "provavelmente dependem da pilha de segurança atual da vítima".
Os pesquisadores publicaram uma análise técnica detalhada do malware e dizem que o Matanbuchus desenvolveu-se "em uma ameaça sofisticada".
Eles também fornecem indicadores de comprometimento que incluem amostras de malware e domínios usados pelo malware.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...