Matanbuchus恶意软件已进化至3.0版本，开始利用微软Teams应用进行社交工程传播。攻击者冒充IT服务人员，诱骗用户下载恶意文件或运行远程支持工具，进而执行PowerShell脚本，最终在设备上安装Matanbuchus加载器。新版本增强了逃避检测和混淆能力，包括使用Salsa20加密通信、内存执行、反沙盒验证以及混淆API调用。感染后，该恶意软件能够执行多种命令，并收集包括用户名、操作系统信息、运行的EDR/AV进程及权限状态在内的敏感数据。

🚨 **Teams成为新的传播渠道**：Matanbuchus 3.0恶意软件利用微软Teams进行社交工程传播，攻击者冒充IT服务人员，通过渗透聊天诱骗用户下载恶意文件，或利用Windows内置的Quick Assist工具获取远程访问权限，指示用户执行恶意脚本，从而在设备上部署恶意软件。

🚀 **功能升级，规避检测**：Matanbuchus 3.0版本在逃避、混淆和事后攻击能力上显著增强。它将命令和控制（C2）通信和字符串混淆从RC4切换到Salsa20，负载在内存中执行，并增加了反沙盒验证例程，确保恶意软件仅在特定环境下运行。此外，通过自定义shellcode执行系统调用，并使用MurmurHash3哈希函数混淆API调用，进一步增加了安全工具检测的难度。

📂 **广泛的数据搜集能力**：该恶意软件在感染后能执行多种命令，包括CMD命令、PowerShell脚本以及EXE、DLL、MSI和shellcode负载。它还能搜集大量设备信息，如用户名、域、操作系统版本、当前运行的EDR/AV进程以及进程的权限状态（管理员或普通用户），为后续的攻击行动提供信息支持。

IT之家 7 月 18 日消息，科技媒体 bleepingcomputer 昨日（7 月 17 日）发布博文，报道称 Matanbuchus 恶意软件衍生进化，开始通过微软 Teams 应用进行社交工程分发，并搜刮 Windows 10、Windows 11 设备的各项数据。

IT之家注：Matanbuchus 恶意软件最早可追溯到 2021 年，以恶意软件即服务（malware-as-a-service）方式在暗网上推出，初期售价为 2500 美元，为规避检测，能够直接在内存中执行恶意负载。

安全专家 Brad Duncan 于 2022 年 6 月发现了衍生版本，被用于大规模恶意垃圾邮件活动，分发 Cobalt Strike 信标。

而最新分析发现的 Matanbuchus 3.0 版本中，增加了逃避、混淆和事后攻击的能力，并开始通过 IT 服务工作人员，通过微软 Teams 应用传播。

攻击者通常渗透聊天，诱骗用户下载恶意文件，然后在系统中引入初始负载。攻击者发起外部 Microsoft Teams 通话，伪装成合法的 IT 帮助台，说服目标启动 Windows 内置的远程支持工具 Quick Assist。

Quick Assist 让攻击者能够获得交互式远程访问，并指示用户执行 PowerShell 脚本。该脚本下载并解压包含三个文件的 ZIP 归档，通过 DLL 侧加载在设备上启动 Matanbuchus 加载器。

Matanbuchus 3.0 引入了多项新功能，将命令和控制（C2）通信和字符串混淆从 RC4 切换到 Salsa20。负载现在在内存中启动，并增加了新的反沙盒验证例程，确保恶意软件只在定义的位置运行。

恶意软件现在通过自定义 shellcode 执行系统调用，绕过 Windows API 封装和 EDR 钩子，进一步绕过安全工具监控范围。API 调用通过使用“MurmurHash3”非加密哈希函数混淆，让逆向工程和静态分析更加困难。

关于 Matanbuchus 3.0 的感染后能力，它能够执行 CMD 命令、PowerShell 或 EXE、DLL、MSI 和 shellcode 负载。恶意软件收集诸如用户名、域、操作系统版本信息、运行的 EDR / AV 进程以及其进程的提升状态（管理员或普通用户）等详细信息。