网络安全研究人员发现，Matanbuchus恶意软件加载器正通过Microsoft Teams发起社会工程攻击。攻击者伪装成IT服务台，诱骗用户启动Quick Assist远程工具，并执行PowerShell脚本，最终通过DLL劫持技术部署Matanbuchus加载器。该恶意软件自2021年起在暗网以租赁模式推广，专为内存执行设计以规避检测。最新版本Matanbuchus 3.0在通信协议、内存规避、反沙盒检测、系统调用隐匿和静态分析对抗等方面进行了显著增强，进一步提升了其隐匿性和攻击能力。攻击链包括信息收集、载荷执行和自适应攻击，而Microsoft Teams因其广泛使用和外部访问设置的宽松性，正成为此类恶意软件传播的首选渠道。

🪪 Matanbuchus加载器利用Microsoft Teams进行社会工程攻击，攻击者伪装成IT服务台，诱导用户执行恶意PowerShell脚本，从而部署该加载器。此方法通过DLL劫持技术实现，旨在绕过传统安全防护。

🚀 Matanbuchus恶意软件作为一种“恶意软件即服务”（MaaS），自2021年起以高昂的租赁价格在暗网推广，其核心特点是能够在内存中直接执行恶意载荷，从而有效规避磁盘扫描和安全检测。

💡 Matanbuchus 3.0版本在技术上进行了多项升级，包括将通信加密算法从RC4升级到Salsa20，采用内存执行载荷以消除磁盘痕迹，新增区域验证机制以进行反沙盒检测，通过自定义shellcode执行系统调用以绕过API包装和EDR监控，以及使用MurmurHash3混淆API调用以增加逆向工程难度。

🔍 该恶意软件的攻击链包括详细的信息收集，如获取用户名、域名、操作系统版本、EDR/杀毒软件进程列表和用户权限状态。它支持执行多种载荷，包括CMD命令、PowerShell脚本、EXE/DLL/MSI文件以及shellcode，并且能够根据受害者的安全环境动态调整攻击策略。

📈 Microsoft Teams已成为恶意软件传播的新趋势，此前已被用于利用软件漏洞和传播DarkGate恶意软件。当前，Matanbuchus 3.0的运营商将其作为初始入侵的首选渠道，凸显了协作平台面临的安全风险。

HackerNews 编译，转载请注明出处：

网络安全研究人员发现，恶意软件加载器Matanbuchus正通过Microsoft Teams的社会工程攻击传播。攻击者伪装成IT服务台发起外部通话，诱骗目标启动Windows内置的远程工具快速助手（Quick Assist），随后引导用户执行PowerShell脚本。该脚本下载ZIP压缩包，内含三个通过DLL劫持技术部署Matanbuchus加载器的文件。

Matanbuchus恶意即服务（MaaS）背景

该恶意软件自2021年初在暗网以2500美元/月的租赁价格推广，是可直接在内存中执行恶意载荷的Windows加载器，旨在规避安全检测。2022年6月，威胁分析师Brad Duncan报告其被用于大规模垃圾邮件攻击，分发Cobalt Strike信标。

技术演进：Matanbuchus 3.0新特性

终端防护公司Morphisec分析指出，3.0版本具备显著增强的隐匿与攻击能力：

通信协议升级：C2通信与字符串混淆从RC4加密更换为Salsa20算法内存规避技术：所有载荷均在内存中启动，消除磁盘痕迹反沙盒检测：新增区域验证机制，确保仅在指定地理区域运行系统调用隐匿：通过自定义shellcode执行系统调用，绕过Windows API包装层及EDR监控钩子静态分析对抗：使用MurmurHash3非加密哈希函数混淆API调用，增加逆向工程难度

攻击链与后期能力

信息收集：获取用户名、域名、操作系统版本、EDR/杀毒软件进程列表、进程权限状态（管理员/普通用户）载荷执行：支持CMD命令、PowerShell脚本、EXE/DLL/MSI文件及shellcode载荷自适应攻击：C2服务器根据受害者安全环境动态调整攻击方式

Microsoft Teams滥用趋势

该协作工具近年频遭攻击者滥用：

2023年：研究人员利用软件漏洞实现外部账号恶意投递2024年：DarkGate恶意软件运营商通过宽松的“外部访问”设置传播加载器当前：Matanbuchus 3.0运营商将Teams作为初始入侵首选渠道

 

 

 

---

消息来源： bleepingcomputer；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文