Microsoft Teams via fake aid desk searches are spreading matanbuchus pests
Matanbuchus pests began to be distributed with social engineering attacks on Microsoft Teams.
The Microsoft Teams Platform has recently been used in social engineering attacks for the recent distribution of malware called Matanbuchus.
Matanbuchus, ilk olarak 2021 yılında karanlık ağda tanıtılan bir Malware-A-A-Service (Maas) hizmeti olarak dikkat çekmişti. Windows sistemlerinde çalışan bu zararlı yazılım, yüklediği kötü amaçlı bileşenleri doğrudan bellekte çalıştırarak antivirüs yazılımlarının tespitinden kaçabiliyor. Yazılım, daha önce 2022 yılında büyük çaplı bir spam kampanyasında Cobalt Strike bileşenlerini dağıtmak için kullanılmıştı.
It infiltrates systems with fake IT calls
Morphisec adlı güvenlik firmasına göre, Matanbuchus'un yeni sürümü olan 3.0 versiyonunda Microsoft Teams üzerinden saldırılar daha yaygın hale geldi. Saldırganlar, hedef kullanıcıya harici bir Teams çağrısı başlatarak kendilerini BT destek personeli gibi tanıtıyor. Ardından, hedef kullanıcıdan Windows’un yerleşik uzaktan yardım aracı olan Quick AssistHe is asked to start.
Quick Assist üzerinden erişim sağlandıktan sonra kullanıcıdan bir PowerShell komutu çalıştırması isteniyor. Bu komut, üç dosya içeren bir ZIP arşivini indirip çıkararak, DLL Side-Loging yöntemiyle Matanbuchus zararlısının yüklenmesini sağlıyor.
Advanced hidden methods
Matanbuchus 3.0 sürümü, önceki versiyonlara kıyasla daha gelişmiş gizlenme ve tespit önleme özellikleri içeriyor. Komut ve kontrol iletişimi RC4 yerine Salsa20 algoritmasıyla sağlanıyor. Zararlı yazılım, yalnızca belirli bölge ve sistemlerde çalışmak üzere Anti-Sandbox kontrolleri uyguluyor.
Windows API çağrıları yerine doğrudan SYSCALL’lar aracılığıyla işlem yapan zararlı, güvenlik yazılımlarını atlatmayı hedefliyor. Bu işlemler, analizden kaçmak için Murmurhash3 adlı non-kriptografik özetleme algoritmasıyla gizleniyor.
The abilities of the malware after working in the system include the fact that PowerShell, CMD, EXE, DLL, MSI and Shellcode files, collect user information and identify security software and adjust the attack method accordingly.
Threat analysis and warnings
In the technical analysis by Morphisec, Matanbuchus has become a significant advanced threat.
In the past, it is known that the Darkgate pest has been distributed through Microsoft Teams in similar ways and that organizations with weak external access settings have been targeted.
Kaynak: CUMHA - CUMHUR HABER AJANSI
What's Your Reaction?
Like
0
Dislike
0
Love
0
Funny
0
Angry
0
Sad
0
Wow
0
