Hackers estão usando o Microsoft Teams para disseminar o malware Matanbuchus 3.0, um carregador malicioso que evoluiu para se tornar uma ameaça sofisticada e difícil de detectar. Pesquisadores da Morphisec identificaram uma campanha recente em que criminosos se passavam por equipes de suporte técnico via chamadas externas no Teams. Eles convenciam funcionários a abrir o Quick Assist para acesso remoto e executar um script PowerShell que instalava o Matanbuchus.
Originalmente lançado em 2021 como um serviço de malware (MaaS) por US$ 2.500, o Matanbuchus tem sido usado para distribuir cargas perigosas como Cobalt Strike, QakBot e DanaBot, facilitando ataques de ransomware. A versão 3.0 apresenta melhorias significativas: comunicação avançada com servidores de comando (C2), execução na memória para maior furtividade, técnicas de ofuscação mais complexas, suporte a shells reversas em CMD e PowerShell, além da capacidade de executar DLLs, EXEs e códigos shell subsequentes. O malware é vendido atualmente por US$ 10.000/mês (versão HTTPS) e US$ 15.000/mês (versão DNS).
Uma vez instalado, ele coleta informações do sistema, verifica processos e privilégios administrativos, persiste por meio de tarefas agendadas manipuladas via COM e pode ser controlado remotamente para listar processos, serviços e aplicativos instalados. A evolução do Matanbuchus reflete uma tendência crescente de malwares stealth que exploram ferramentas legítimas do sistema (LOLBins), hijacking de objetos COM e integração com plataformas corporativas como Teams e Zoom para enganar vítimas e escapar de defesas tradicionais. Especialistas alertam que esses métodos ampliam a superfície de ataque e exigem novas estratégias de proteção.
