Matanbuchus 3.0 explora vulnerabilidade no Microsoft Teams em ataques

Pesquisadores de cibersegurança identificaram uma nova e sofisticada variante de um conhecido carregador de malware, o Matanbuchus, que incorpora recursos significativos para aprimorar sua discrição e evadir a detecção. Este desenvolvimento sublinha a crescente sofisticação dos grupos hackers e a necessidade premente de defesas cibernéticas robustas.

O Matanbuchus é um serviço de Malware-as-a-Service (MaaS) que opera como um conduto para cargas úteis de estágio seguinte, incluindo beacons do Cobalt Strike e ransomware. Anunciado pela primeira vez em fevereiro de 2021 em fóruns de cibercrime de língua russa, com um custo de aluguel de US$ 2.500, o malware tem sido empregado em iscas do tipo ClickFix, enganando usuários que visitam sites legítimos, porém comprometidos.

Diferenciando-se de outros carregadores, o Matanbuchus não se propaga geralmente por e-mails de spam ou downloads drive-by. Em vez disso, é frequentemente implantado através de engenharia social direta, onde os hackers manipulam os usuários. Em alguns casos, ele suporta o tipo de acesso inicial utilizado por corretores que vendem entrada para grupos de ransomware, tornando-o uma ameaça mais direcionada e coordenada do que os carregadores comuns.

A versão mais recente do carregador, rastreada como Matanbuchus 3.0, incorpora diversas novas funcionalidades. Entre elas, destacam-se:

• Técnicas aprimoradas de protocolo de comunicação: Para uma comunicação mais sigilosa com os servidores de comando e controle (C2).

• Capacidades em memória: Que dificultam a detecção por soluções de segurança.

• Métodos de ofuscação avançados: Tornando a análise do código mais complexa.

• Suporte a reverse shells CMD e PowerShell: Concedendo aos invasores controle remoto sobre o sistema comprometido.

• Capacidade de executar cargas úteis de estágio seguinte: Incluindo DLL, EXE e shellcode.

A empresa de cibersegurança Morphisec relatou ter observado o malware em um incidente no início deste mês. Uma empresa não identificada foi alvo de chamadas externas no Microsoft Teams, onde os hackers se passaram por uma equipe de suporte de TI.

Eles enganaram os funcionários para que lançassem o Quick Assist, obtendo assim acesso remoto, e então executassem um script PowerShell que implantou o Matanbuchus. É relevante notar que táticas de engenharia social semelhantes já foram empregadas por hackers associados à operação de ransomware Black Basta.

Michael Gorelik, CTO da Morphisec, explicou o modus operandi: "As vítimas são cuidadosamente direcionadas e persuadidas a executar um script que desencadeia o download de um arquivo compactado. Este arquivo contém um atualizador renomeado do Notepad++ (GUP), um arquivo de configuração XML ligeiramente modificado e uma DLL maliciosa carregada lateralmente, representando o carregador Matanbuchus."

O Matanbuchus 3.0 tem sido publicamente anunciado para locação, com preços mensais de US$ 10.000 para a versão HTTPS e US$ 15.000 para a versão DNS, demonstrando o lucrativo mercado de malware-as-a-service.

Uma vez lançado, o malware inicia uma fase de reconhecimento, coletando informações do sistema e iterando sobre a lista de processos em execução para identificar a presença de ferramentas de segurança.

Ele também verifica se está sendo executado com privilégios administrativos. Em seguida, os dados coletados são enviados para um servidor de comando e controle (C2) para receber cargas úteis adicionais, como instaladores MSI e executáveis portáteis.

A persistência no sistema comprometido é alcançada através da configuração de uma tarefa agendada. "Embora pareça simples, os desenvolvedores do Matanbuchus implementaram técnicas avançadas para agendar uma tarefa através do uso de COM e injeção de shellcode," detalhou Gorelik.

"O próprio shellcode é interessante; ele implementa uma resolução de API relativamente básica (comparações simples de strings) e uma execução COM sofisticada que manipula o ITaskService."

O carregador também possui funcionalidades que podem ser invocadas remotamente pelo servidor C2 para coletar todos os processos em execução, serviços ativos e uma lista de aplicativos instalados.

"O Malware-as-a-Service Matanbuchus 3.0 evoluiu para uma ameaça sofisticada", afirmou Gorelik. "Esta versão atualizada introduz técnicas avançadas como protocolos de comunicação aprimorados, discrição em memória, ofuscação aprimorada e suporte para consultas WQL, CMD e reverse shells PowerShell." Ele concluiu:

"A capacidade do carregador de executar comandos regsvr32, rundll32, msiexec ou process hollowing ressalta sua versatilidade, tornando-o um risco significativo para sistemas comprometidos."

À medida que o conceito de malware-as-a-service evolui, o Matanbuchus 3.0 se encaixa em uma tendência mais ampla de carregadores que priorizam a discrição, dependendo de LOLBins (living-off-the-land binaries), sequestro de objetos COM e stagers PowerShell para permanecerem indetectáveis.

Pesquisadores de ameaças estão mapeando cada vez mais esses carregadores como parte de estratégias de gerenciamento da superfície de ataque e os conectando ao abuso de ferramentas de colaboração empresarial como Microsoft Teams e Zoom, destacando a importância de monitorar e proteger esses vetores de ataque.

Via - THN