CibersegurançaNotícias

Matanbuchus 3.0: Malware se infiltra via Microsoft Teams e Quick Assist

Imagem do autor do SempreUpdate Jardeson Márcio
Escrito por
Jardeson Márcio
Imagem do autor do SempreUpdate Jardeson Márcio
PorJardeson Márcio
Jardeson Márcio é Jornalista e Mestre em Tecnologia Agroalimentar pela Universidade Federal da Paraíba. Com 8 anos de experiência escrevendo no SempreUpdate, Jardeson é um especialista...
Follow:
Imagem com a logomarca do Portal for Teams com fundo azul

Em um cenário onde ferramentas de comunicação corporativa se tornaram essenciais para o trabalho remoto e híbrido, é alarmante constatar que plataformas como o Microsoft Teams estejam sendo exploradas ativamente por cibercriminosos. A mais nova campanha identificada utiliza o popular software de mensagens como vetor de ataque para disseminar o malware Matanbuchus 3.0, um perigoso loader de malware.

Conteúdo

Neste artigo, você entenderá como funciona essa sofisticada cadeia de ataque, como a engenharia social está sendo usada para ludibriar funcionários desatentos e como o Matanbuchus 3.0 representa uma ameaça cada vez mais furtiva às infraestruturas corporativas. Também abordaremos medidas práticas de prevenção para que sua empresa não se torne a próxima vítima.

A análise dessa campanha revela tendências preocupantes no campo da segurança cibernética: o uso de plataformas confiáveis como canal de entrada, a automação de ataques via Malware-as-a-Service (MaaS) e o abuso de ferramentas nativas do Windows para evitar detecção.

Microsoft Office 2024 estará disponível sem assinatura

O que é o Matanbuchus? Um loader disfarçado de serviço

O Matanbuchus é classificado como um loader de malware, ou seja, um tipo de software malicioso cujo principal objetivo é preparar o ambiente e carregar cargas úteis (payloads) mais perigosas, como ransomware ou ferramentas de controle remoto.

Distribuído sob o modelo de Malware-as-a-Service (MaaS), o Matanbuchus 3.0 pode ser alugado por outros cibercriminosos, que o utilizam como ponto de partida para infecções mais graves. Ele é projetado para operar de forma furtiva, estabelecendo persistência e facilitando a entrega de cargas como Cobalt Strike, shellcode personalizado, arquivos EXE e DLLs maliciosas.

Além de permitir o controle remoto do sistema infectado, o loader pode ocultar sua presença na memória, dificultando sua detecção por antivírus tradicionais.

A anatomia do novo ataque: como o Teams se tornou a porta de entrada

A campanha mais recente identificada por pesquisadores de segurança mostra um uso inovador e preocupante do Microsoft Teams como vetor inicial da infecção. A seguir, explicamos como o ataque ocorre em três fases principais:

Passo 1: A engenharia social na chamada do Teams

O ataque começa com uma chamada no Microsoft Teams, supostamente originada da equipe de suporte técnico da empresa. Os atacantes se passam por técnicos de TI, utilizando contas com nomes e imagens convincentes para solicitar a colaboração do funcionário.

Durante a conversa, o criminoso cria um sentido de urgência ou problema técnico fictício para convencer a vítima a permitir o acesso remoto ao dispositivo.

Passo 2: O abuso do Quick Assist e a execução do script

Uma vez conquistada a confiança do usuário, o atacante solicita que ele abra o Quick Assist, uma ferramenta legítima da Microsoft usada para suporte remoto. Através dela, o invasor obtém acesso direto ao computador da vítima.

Com esse controle, o criminoso executa um script malicioso em PowerShell, que prepara o ambiente para o próximo estágio da infecção, sem levantar suspeitas imediatas.

Passo 3: O disfarce com Notepad++ e o carregamento lateral

Para executar o malware sem detecção, os atacantes empregam uma técnica conhecida como side-loading. Eles usam o GUP (Generic Updater), um componente legítimo do Notepad++, para carregar uma DLL maliciosa em vez da original.

Esse método de carregamento lateral permite que o Matanbuchus 3.0 seja executado sob o disfarce de um processo confiável, burlando muitos mecanismos de defesa.

As novidades perigosas do Matanbuchus 3.0

A versão mais recente, Matanbuchus 3.0, apresenta aprimoramentos que o tornam ainda mais difícil de detectar e neutralizar. Entre os avanços técnicos observados pelos especialistas, destacam-se:

  • Protocolos de comunicação criptografados para evitar interceptações.
  • Execução direta em memória, evitando a criação de arquivos no disco.
  • Ofuscação aprimorada de código, dificultando a análise forense.
  • Capacidade de executar múltiplos tipos de payloads, como EXE, DLL e shellcode.
  • Suporte a shell reverso, permitindo o controle remoto total da máquina infectada.

Essas características demonstram a sofisticação do Matanbuchus 3.0 e sua capacidade de contornar defesas tradicionais com facilidade.

Como proteger sua empresa desse tipo de ameaça

Diante de ameaças como o malware Matanbuchus, a melhor defesa é a prevenção ativa e em múltiplas camadas. A seguir, destacamos medidas essenciais para proteger sua organização:

Treinamento e conscientização de funcionários

É vital educar todos os colaboradores, especialmente os que utilizam ferramentas como o Teams, para que estejam atentos a sinais de engenharia social. Devem ser treinados a não conceder acesso remoto a contatos não verificados, mesmo que pareçam legítimos.

Simulações regulares de phishing e campanhas de segurança ajudam a reforçar essa vigilância.

Políticas de acesso e uso de ferramentas remotas

Ferramentas como o Quick Assist devem ser restritas por política de segurança ou monitoradas com atenção. É recomendável o uso de soluções corporativas de suporte remoto que ofereçam registro detalhado das sessões e autenticação reforçada.

Além disso, o controle de execução de PowerShell e o bloqueio de scripts desconhecidos são medidas adicionais eficazes.

Monitoramento e defesas técnicas

Adoção de ferramentas de EDR (Endpoint Detection and Response) é altamente recomendada, pois permitem detectar comportamentos suspeitos mesmo quando não há arquivos maliciosos visíveis.

Outras práticas incluem:

  • Bloqueio de LOLBins (Living Off the Land Binaries) usados frequentemente em ataques como esse.
  • Segmentação de rede para limitar o alcance de possíveis infecções.
  • Atualização contínua de softwares e sistemas operacionais para reduzir superfícies de ataque conhecidas.

Conclusão: a crescente ameaça aos ambientes de colaboração

O uso do Microsoft Teams como vetor de infecção para o malware Matanbuchus 3.0 é um sinal claro de que cibercriminosos estão inovando suas estratégias, aproveitando-se da confiança em ferramentas amplamente utilizadas pelas empresas.

Essa campanha serve como alerta urgente para administradores de sistemas e equipes de segurança: o elo mais fraco continua sendo o humano, e mesmo plataformas legítimas podem ser transformadas em armas contra a própria organização.

A ação imediata é crucial: revise suas políticas de acesso remoto, fortaleça sua defesa contra engenharia social e invista em soluções de detecção e resposta avançadas. E acima de tudo, compartilhe este alerta com suas equipes — conhecimento e preparação continuam sendo as melhores defesas.

TAGGED:
Compartilhe este artigo
Artigo anterior Imagem com a logomarca do Twintail Launcher Instale o Twintail Launcher, um iniciador, no Ubuntu, Fedora, Debian e outras distribuições Linux com Flatpak
Próximo artigo Imagem com a logomarca do Digger Instale o Digger, um consultor de DNS, no Ubuntu, Fedora, Debian e outras distribuições Linux com Flatpak

Leia também

Posts sobre o mesmo assunto