恶意软件Matanbuchus借微软Teams传播 搜刮Win1011隐私数据

快速阅读: 据相关媒体最新报道，Matanbuchus 3.0 利用 Microsoft Teams 进行社交工程攻击，通过伪装 IT 帮助台诱导用户下载恶意文件，实现远程访问和数据窃取。

据科技媒体 bleepingcomputer 报道，7月17日，Matanbuchus 恶意软件再次进化，开始利用微软 Teams 应用进行社交工程攻击，窃取 Windows 10 和 Windows 11 设备的数据。

Matanbuchus 恶意软件最早出现于2021年，以“恶意软件即服务”的形式在暗网上销售，初期售价为2500美元。2022年6月，安全专家 Brad Duncan 发现了该恶意软件的一个衍生版本，被用于大规模恶意垃圾邮件活动，分发 Cobalt Strike 信标。

最新的 Matanbuchus 3.0 版本增加了逃避、混淆和后续攻击的能力，并通过 IT 服务人员在微软 Teams 上进行传播。攻击者通常会渗透聊天，诱骗用户下载恶意文件，然后在系统中植入初始负载。他们通过伪装成合法的 IT 帮助台，发起外部 Microsoft Teams 通话，说服目标用户启动 Windows 自带的远程支持工具 Quick Assist。这使得攻击者能够获得交互式远程访问，并指导用户执行 PowerShell 脚本，下载并解压包含三个文件的 ZIP 归档，通过 DLL 侧加载启动 Matanbuchus 加载器。

Matanbuchus 3.0 引入了多项新功能，包括将命令和控制 (C2) 通信和字符串混淆从 RC4 切换到 Salsa20，负载在内存中启动，并增加了新的反沙盒验证例程，确保恶意软件仅在特定位置运行。恶意软件还通过自定义 shellcode 执行系统调用，绕过 Windows API 封装和 EDR 钩子，进一步避开安全工具的监控。API 调用通过使用“MurmurHash3”非加密哈希函数混淆，使逆向工程和静态分析变得更加困难。

Matanbuchus 3.0 感染后能够执行 CMD 命令、PowerShell 或 EXE、DLL、MSI 和 shellcode 负载。恶意软件还会收集用户的详细信息，如用户名、域、操作系统版本、运行的 EDR/AV 进程及其进程的提升状态（管理员或普通用户）。

(以上内容均由AI生成)