Riscos do malware no Microsoft Teams em ambientes corporativos

Criminosos estão usando o Malware no Microsoft Teams para espalhar o Matanbuchus, um tipo de software malicioso. A empresa de cibersegurança Morphisec identificou uma nova campanha desde o início de julho. Nesses ataques, os invasores se fazem passar por suporte técnico para enganar usuários e instalar o programa nos sistemas.

Nos ataques mais recentes, os criminosos agem como falsos profissionais de suporte em chamadas no Microsoft Teams. Durante esse atendimento forjado, eles convencem a vítima a ativar o Quick Assist, uma ferramenta do Windows para compartilhamento de tela. Em seguida, a vítima é levada a executar um script malicioso que ativa o Matanbuchus Loader no computador.

Quando o Matanbuchus é ativado, ele opera diretamente na memória do computador. Esta técnica dificulta a detecção por programas antivírus e permite que outros softwares maliciosos, como ransomwares, rodem com alto nível de privilégios. Essa forma de atuação torna a ameaça ainda mais difícil de ser combatida.

O que é o Matanbuchus

O Matanbuchus é um malware loader que funciona como um serviço, conhecido como Malware-as-a-Service, desde 2021. No início, ele podia ser alugado por cerca de 2,5 mil dólares em fóruns dedicados a atividades cibernéticas ilegais. Isso demonstra como ferramentas maliciosas se tornaram acessíveis a diferentes grupos.

Atualmente em sua versão 3.0, o malware ganhou diversas melhorias e novas funcionalidades. Essas atualizações visam torná-lo mais potente e difícil de ser detectado pelas soluções de segurança existentes no mercado.

• Técnicas avançadas de comunicação via protocolo são empregadas;
• Ele permite a execução de cargas maliciosas diretamente na memória do computador, sem precisar de arquivos no disco;
• Métodos aprimorados de ofuscação são usados para burlar sistemas de segurança e antivírus;
• Oferece suporte a reverse shells via CMD e PowerShell, facilitando o controle remoto;
• Pode executar payloads secundários, como arquivos DLL, EXE e shellcode.

O Matanbuchus 3.0 está disponível para aluguel, com planos mensais que variam de 10 mil dólares na versão HTTPS e 15 mil dólares na versão DNS. Esses valores refletem a complexidade e os recursos que o malware oferece aos seus usuários.

Quem são os alvos da campanha do Matanbuchus

A campanha recente do Matanbuchus foca principalmente em ambientes corporativos. Usuários comuns em suas casas não são os alvos principais. Em empresas, é comum que funcionários busquem o suporte de TI para resolver problemas técnicos, e é justamente nesse cenário que os criminosos aproveitam a confiança na equipe de manutenção para injetar o malware.

De acordo com Michael Gorelik, CTO da Morphisec, o ataque segue um processo bem planejado. As vítimas são selecionadas cuidadosamente e convencidas a rodar um script que inicia o download de um arquivo compactado. Essa técnica aumenta a chance de sucesso da infecção, explorando a falta de conhecimento dos usuários.

Este arquivo compactado contém vários componentes. Há um atualizador renomeado do Notepad++ (GUP), um arquivo de configuração XML levemente modificado e uma DLL maliciosa que é carregada lateralmente. Essa DLL é, na verdade, o Matanbuchus Loader, o coração do ataque.

Essas questões de privacidade e segurança em ambientes digitais são um lembrete constante da importância de verificar a autenticidade de solicitações de suporte e de manter softwares de segurança atualizados. A vigilância é crucial para evitar que programas maliciosos causem danos.

Continuar atento às ameaças mais recentes em cibersegurança é fundamental, especialmente sobre como elas afetam o ambiente corporativo. A proteção de dados e sistemas é um desafio contínuo que exige informação e cautela por parte de todos os usuários e empresas.

Este conteúdo foi auxiliado por Inteligência Artificiado, mas escrito e revisado por um humano.