网络安全公司Morphisec近日发现,黑客通过Microsoft Teams语音通话伪装成IT帮助台,利用社会工程学手段传播名为Matanbuchus的恶意软件。据报道,该恶意软件最初于2021年在暗网上被推广为一种恶意软件即服务(MaaS),以2500美元的价格出售,能够在内存中直接执行恶意载荷,从而逃避检测。
Morphisec的研究人员指出,Matanbuchus的最新版本3.0具有增强的逃避、混淆和后妥协能力。黑客通过发起外部Microsoft Teams通话,假扮合法的IT帮助台,诱导目标启动Windows内置的远程支持工具Quick Assist。随后,攻击者指示用户执行一个PowerShell脚本,该脚本下载并解压缩一个包含三个文件的ZIP档案,以DLL侧加载方式在设备上启动Matanbuchus加载器。
Matanbuchus 3.0引入了多项新功能,包括将命令与控制(C2)通信和字符串混淆从RC4切换到Salsa20。恶意载荷现在在内存中启动,并且新增了防沙盒验证例程,确保恶意软件仅在定义的区域运行。与以往调用Windows API函数不同,现在恶意软件通过自定义Shellcode执行系统调用,绕过Windows API封装和EDR钩子,从而隐藏常被安全工具监控的动作。