Cybercriminelen maken misbruik van Microsoft Teams om een nieuwe variant van de Matanbuchus-malware te verspreiden. Daarbij doen aanvallers zich via spraakoproepen voor als IT-helpdeskmedewerkers, in een slimme vorm van social engineering.
Matanbuchus-malware
Matanbuchus werd voor het eerst in 2021 op het dark web aangeboden als een zogeheten malware-as-a-service. Voor $2.500 konden cybercriminelen een Windows-loader aanschaffen die schadelijke programma’s direct in het werkgeheugen uitvoert, onzichtbaar voor veel antivirussoftware. Inmiddels is de malware uitgegroeid tot een geavanceerde dreiging, zo blijkt uit onderzoek van het cybersecuritybedrijf Morphisec.
Misbruik van Microsoft Teams
De nieuwste aanvallen draaien om het misbruik van Microsoft Teams-gesprekken. Aanvallers nemen contact op via een externe Teams-oproep en doen zich voor als een legitieme IT-helpdesk. Ze overtuigen slachtoffers om via Quick Assist (de ingebouwde Windows-hulpfunctie) toegang te verlenen tot hun systeem. Vervolgens wordt het slachtoffer geïnstrueerd een PowerShell-script uit te voeren dat een ZIP-bestand downloadt en uitpakt. Via DLL side-loading wordt hiermee de Matanbuchus 3.0-loader op het systeem geïnstalleerd.
Teams werd in het verleden al vaker misbruikt. In 2023 toonde een onderzoeker aan hoe externe accounts via bugs bestanden konden afleveren. Ook malware zoals DarkGate gebruikte Teams als toegangskanaal bij organisaties met zwakke toegangsinstellingen.
Nieuwe mogelijkheden in Matanbuchus 3.0
Volgens Morphisec bevat Matanbuchus 3.0 meerdere vernieuwingen. Zo is de communicatie met de command-and-control (C2)-servers nu versleuteld met Salsa20 in plaats van RC4, en maakt de malware gebruik van anti-sandbox technieken om alleen op echte systemen te draaien.
De malware voert systeemtaken uit via custom syscalls, wat detectie bemoeilijkt, en verbergt zijn functies met de moeilijk te analyseren MurmurHash3-hashmethode. Eenmaal actief kan het systeeminformatie verzamelen, zoals gebruikersnaam, domein, Windows-versie, antivirusprocessen en gebruikersrechten. De manier waarop Matanbuchus zich verder gedraagt, wordt afgestemd op de aanwezige beveiligingssoftware van het slachtoffer.
Waarschuwing voor organisaties
Morphisec waarschuwt dat Matanbuchus is uitgegroeid tot een serieuze bedreiging. Ze publiceren in hun analyse ook indicatoren van compromittering (IoC’s), waaronder verdachte domeinen en malwaresamples.
Organisaties doen er verstandig aan hun beveiligingsbeleid rond Microsoft Teams te herzien en hun medewerkers te trainen in het herkennen van verdachte verzoeken. Ook als die via een vertrouwd kanaal lijken te komen.