微软 Teams 沦为恶意软件分发工具，可搜刮 Win10 / Win11 隐私数据

IT之家 7 月 18 日消息，科技媒体 bleepingcomputer 昨日（7 月 17 日）发布博文，报道称 Matanbuchus 恶意软件衍生进化，开始通过微软 Teams 应用进行社交工程分发，并搜刮 Windows 10、Windows 11 设备的各项数据。

IT之家注：Matanbuchus 恶意软件最早可追溯到 2021 年，以恶意软件即服务（malware-as-a-service）方式在暗网上推出，初期售价为 2500 美元，为规避检测，能够直接在内存中执行恶意负载。

安全专家 Brad Duncan 于 2022 年 6 月发现了衍生版本，被用于大规模恶意垃圾邮件活动，分发 Cobalt Strike 信标。

而最新分析发现的 Matanbuchus 3.0 版本中，增加了逃避、混淆和事后攻击的能力，并开始通过 IT 服务工作人员，通过微软 Teams 应用传播。

攻击者通常渗透聊天，诱骗用户下载恶意文件，然后在系统中引入初始负载。攻击者发起外部 Microsoft Teams 通话，伪装成合法的 IT 帮助台，说服目标启动 Windows 内置的远程支持工具 Quick Assist。

Quick Assist 让攻击者能够获得交互式远程访问，并指示用户执行 PowerShell 脚本。该脚本下载并解压包含三个文件的 ZIP 归档，通过 DLL 侧加载在设备上启动 Matanbuchus 加载器。

Matanbuchus 3.0 引入了多项新功能，将命令和控制（C2）通信和字符串混淆从 RC4 切换到 Salsa20。负载现在在内存中启动，并增加了新的反沙盒验证例程，确保恶意软件只在定义的位置运行。

恶意软件现在通过自定义 shellcode 执行系统调用，绕过 Windows API 封装和 EDR 钩子，进一步绕过安全工具监控范围。API 调用通过使用“MurmurHash3”非加密哈希函数混淆，让逆向工程和静态分析更加困难。

关于 Matanbuchus 3.0 的感染后能力，它能够执行 CMD 命令、PowerShell 或 EXE、DLL、MSI 和 shellcode 负载。恶意软件收集诸如用户名、域、操作系统版本信息、运行的 EDR / AV 进程以及其进程的提升状态（管理员或普通用户）等详细信息。

广告声明：文内含有的对外跳转链接（包括不限于超链接、二维码、口令等形式），用于传递更多信息，节省甄选时间，结果仅供参考，IT之家所有文章均包含本声明。