恶意软件Matanbuchus利用微软Teams传播 搜刮Win1011隐私数据

快速阅读: 据相关媒体报道，Matanbuchus恶意软件最新版本通过微软Teams传播，利用社交工程窃取Windows设备数据，具备逃避检测、内存执行和反沙盒功能。

据科技媒体BleepingComputer报道，7月17日，Matanbuchus恶意软件再次进化，开始通过微软Teams应用进行社交工程分发，并窃取Windows 10和Windows 11设备的数据。

Matanbuchus恶意软件最早出现在2021年，以“恶意软件即服务”的形式在暗网上出售，初期价格为2500美元。为了规避检测，该软件能够在内存中直接执行恶意负载。2022年6月，安全专家Brad Duncan发现了该恶意软件的衍生版本，被用于大规模的恶意垃圾邮件活动，分发Cobalt Strike信标。

最新的Matanbuchus 3.0版本增强了逃避、混淆和攻击后的功能，主要通过IT服务人员，利用微软Teams应用进行传播。攻击者通常会渗透聊天，诱骗用户下载恶意文件，然后在系统中植入初始负载。他们通过发起外部Microsoft Teams通话，伪装成合法的IT帮助台，说服目标用户启动Windows内置的远程支持工具Quick Assist。这使得攻击者能够获得交互式的远程访问权限，并指示用户执行PowerShell脚本。

该脚本会下载并解压一个包含三个文件的ZIP归档，通过DLL侧加载技术在设备上启动Matanbuchus加载器。3.0版本引入了多项新功能，包括将命令和控制（C2）通信及字符串混淆从RC4切换到Salsa20。负载现在在内存中启动，并增加了新的反沙盒验证例程，确保恶意软件只在特定位置运行。

此外，该恶意软件还通过自定义shellcode执行系统调用，绕过Windows API封装和EDR钩子，进一步规避安全工具的监控。API调用通过“MurmurHash3”非加密哈希函数混淆，使逆向工程和静态分析变得更加困难。

Matanbuchus 3.0感染后的能力包括执行CMD命令、PowerShell或EXE、DLL、MSI和shellcode负载。恶意软件还会收集用户的详细信息，如用户名、域、操作系统版本、正在运行的EDR/AV进程及其进程的提升状态（管理员或普通用户）。

(以上内容均由AI生成)