Hakerzy Wykorzystują Połączenia za Pośrednictwem Teams do Przejęcia Kontroli nad Systemami

Niebezpieczny ładowarka malware Matanbuchus przekształciła się w wersję 3.0, która pozwala atakującym na prowadzenie dyskretnych operacji, prowadzących do infekcji ransomware.

Matanbuchus funkcjonuje jako Malware-as-a-Service (MaaS) od 2021 roku, umożliwiając cyberprzestępcom przenikanie do systemów Windows przed zainstalowaniem dodatkowego, destrukcyjnego oprogramowania szkodliwego.

Najnowsza wersja wprowadziła potężne narzędzia. „Matanbuchus 3.0 został wprowadzony z istotnymi aktualizacjami swojego arsenału” – powiedzieli badacze z Morphisec. Aktualizowana wersja zawiera nowe metody dostarczania, ulepszone protokoły komunikacyjne, możliwości ukrywania w pamięci oraz funkcje unikania systemów zabezpieczeń. Naśladuje nawet aplikacje takie jak Skype, aby ukryć swoją aktywność.

Raport Morphisec zauważa, że jeden niepokojący przypadek zdarzył się w lipcu 2025 roku. Atakujący podszył się pod wsparcie IT za pomocą fałszywego połączenia Microsoft Teams. Atakujący oszukał pracownika, skłaniając go do wykonania skryptu, który potajemnie zainstalował Matanbuchus.

Morphisec wyjaśnia, że skrypt rozpakował plik zip z przemianowanym aktualizatorem Notepad++ i uszkodzonym plikiem konfiguracyjnym. Ta wersja oszukała użytkowników, korzystając z prawie identycznego domeny: zamiast prawdziwej strony ‘notepad-plus-plus.org’, atakujący użyli ‘notepad-plus-plu[.]org’.

Po zainstalowaniu, złośliwe oprogramowanie wykonuje kontrolę systemu, aby zweryfikować, czy działa na prawdziwym komputerze, a nie w środowisku testowym. Malware kradnie dane systemowe, w tym informacje o nazwie użytkownika, szczegóły oprogramowania zabezpieczającego i specyfikacje systemu operacyjnego. Atakujący otrzymują szyfrowane skradzione dane, na podstawie których wybierają swój kolejny krok, w tym wdrożenie złośliwego oprogramowania lub ransomware.

Złośliwe oprogramowanie Matanbuchus 3.0 kosztuje 10 000 dolarów za wersję HTTP, podczas gdy wersja DNS wymaga inwestycji w wysokości 15 000 dolarów – tak informuje Morphisec. Baza kodów pozwala użytkownikom wykonywać polecenia za pomocą CMD, PowerShell i WQL, zbierać zainstalowane aplikacje i aktualizacje oraz przeprowadzać głębokie operacje na poziomie systemu, w tym iniekcje procesów.

Ze swoją zaawansowaną zdolnością do ukrywania się i szerokim zakresem narzędzi, eksperci z Morphisec ostrzegają, że Matanbuchus 3.0 stanowi „znaczne zagrożenie dla skompromitowanych systemów”. Zespoły zajmujące się bezpieczeństwem cybernetycznym są zobowiązane pozostać czujne na oznaki tego złośliwego oprogramowania i edukować personel na temat zagrożeń wynikających z inżynierii społecznej.