Hackers aprovechan Microsoft Teams para propagar malware a diversas empresas.
Las víctimas son elegidas con atención.
Investigadores han detectado un nuevo malware llamado Matanbuchus 3.0 que está siendo utilizado en una campaña activa que aprovecha las llamadas de Microsoft Teams para infectar a sus víctimas. Según un análisis de Morphisec, un grupo de hackers no identificado elige cuidadosamente a sus objetivos y se comunica con ellos a través de Microsoft Teams, haciéndose pasar por un equipo de TI externo.
A través de esta estrategia, intentan convencer a las víctimas de que hay un problema en sus dispositivos que requiere acceso remoto para ser solucionado. Este enfoque selectivo aumenta las probabilidades de éxito en su intento de infección.
Una vez que las víctimas otorgan acceso, generalmente mediante Quick Assist, los atacantes ejecutan un script de PowerShell que descarga Matanbuchus 3.0. Este malware actúa como un loader, que puede abrir la puerta a Cobalt Strike o incluso a ransomware. Michael Gorelik, CTO de Morphisec, explica que los objetivos son persuadidos para que ejecuten un script que desencadena la descarga de un archivo comprimido. Este archivo incluye un actualizador de Notepad++ renombrado, un archivo de configuración XML ligeramente modificado y un DLL malicioso que representa al loader de Matanbuchus.
El malware fue detectado por primera vez en 2021, cuando los cibercriminales lo promocionaban en foros de habla rusa con un precio de $2,500. Desde entonces, ha evolucionado con nuevas características y mejoras en su comunicación y capacidad de ocultación, así como soporte para CMD y PowerShell. Su precio ha aumentado considerablemente, ahora costando $10,000 al mes para la versión HTTPS y $15,000 para la versión DNS.
Aunque los investigadores no han identificado el grupo de atacantes, señalaron que tácticas similares de ingeniería social fueron empleadas anteriormente por un grupo conocido como Black Basta para implementar ransomware. Este grupo, que había sido uno de los más peligrosos en el ámbito del ransomware, ha ido desapareciendo poco a poco, y recientemente se filtraron registros de chat que detallan su funcionamiento interno.
