科技媒体 bleepingcomputer 于 7 月 17 日报道,名为 Matanbuchus 的恶意软件已进化出新型传播手段——利用微软 Teams 应用进行社交工程攻击。此举将大量 Teams 用户置于数据泄露风险中,该恶意软件专门针对 Windows 10 和 11 系统用户的信息进行窃取。
传播路径:从垃圾邮件到协作平台
Matanbuchus 最早于 2021 年在暗网以“恶意软件即服务”(malware-as-a-service)形式出现,早期暗网标价达 2500 美元。其显著特点是直接在内存中执行恶意负载以规避安全检测。2022 年 6 月,安全专家 Brad Duncan 发现其被用于大规模垃圾邮件活动分发 Cobalt Strike 信标。而最新发现的 3.0 版本则转而利用微软 Teams 这一广泛使用的协作工具。
社会工程诱导+工具滥用
攻击模式涉及攻击者渗透 Teams 聊天,伪装成合法的 IT 服务人员或技术支持角色发起外部通话,诱骗目标用户接受“帮助”。随后攻击者诱导用户启动 Windows 自带的 Quick Assist 工具获得远程控制权限。一旦获得用户配合,攻击者即指使用户执行恶意 PowerShell 脚本,下载包含攻击文件的压缩包。最终通过 DLL 侧加载在设备上激活 Matanbuchus 核心加载器。
Matabuchus 3.0 的技术升级
相较于旧版,Matabuchus 3.0 显著增强了逃避、混淆能力及感染后的攻击手段:
· 通信与混淆升级:命令控制(C2)通信和字符串混淆从 RC4 加密算法升级至 Salsa20。
· 反沙盒检测:新增验证程序,确保仅能在特定位置环境中运行。
· 隐秘执行:依赖自定义 shellcode 执行系统调用,绕开标准 Windows API 及安全软件(如 EDR)的监控钩子(hooks)。
· API 调用混淆:通过 “MurmurHash3” 非加密散列算法混淆 API 调用名称,极大阻碍了安全人员进行逆向工程和静态代码分析。
强大的信息收集与后续攻击
一旦成功感染系统,Matanbuchus 3.0 即展现其攻击能力,包括:
· 执行指令与载荷:运行 CMD 命令、PowerShell 脚本、EXE/DLL/MSI 文件及 shellcode 等多种负载。
· 敏感信息采集:搜索设备关键数据,包含当前用户名、所属域环境、操作系统具体版本、系统中运行的安全软件(EDR/AV)进程及其名称,以及检测运行自身程序时是否具备管理员特权权限。
此事件标志着攻击者利用大型商业协作平台漏洞实施大规模威胁的新趋势,凸显了用户对陌生人员发起的“技术支持”保持高度警惕的至关重要。
相关资讯
