首页 > 电脑软件 > 电脑软件
发布日期:2025-07-18 12:57:00

Teams成新战场:Matanbuchus恶意软件借微软平台窃取Win10/11隐私数据

Teams成新战场:Matanbuchus恶意软件借微软平台窃取Win10/11隐私数据

   7月18日,科技媒体bleepingcomputer昨日(7月17日)发表文章称,Matanbuchus恶意软件已发生进化,开始借助微软Teams应用进行社交工程传播,并窃取Windows 10和Windows 11设备上的各类数据。

   注:Matanbuchus恶意软件可追溯至2021年,最初以“恶意软件即服务”的形式在暗网发布,初期售价为2500美元,其设计旨在规避安全检测,能够直接在内存中运行恶意代码。

   安全专家BradDuncan在2022年6月发现了一个衍生版本,该版本被用于大规模的恶意垃圾邮件活动,用以分发CobaltStrike信标。

   最新分析显示,Matanbuchus 3.0版本新增了逃避、混淆和事后攻击的功能,并开始借助IT服务工作人员,通过微软Teams应用进行传播。

   攻击者常通过渗透聊天工具,诱导用户下载恶意文件,进而将初始恶意代码植入目标系统。他们还会发起外部的Microsoft Teams通话,伪装成正规的IT支持人员,诱使受害者启动Windows自带的远程支持工具QuickAssist。 这种手段反映出当前网络攻击方式愈发隐蔽且具有欺骗性,攻击者善于利用人们对于官方技术支持的信任。在日常工作中,用户应提高警惕,对突如其来的远程协助请求保持审慎态度,避免因一时疏忽而造成严重后果。同时,企业也应加强员工的安全意识培训,完善内部安全策略,以应对不断演变的威胁手段。

   QuickAssist被攻击者利用,提供了交互式的远程访问权限,并引导用户运行PowerShell脚本。该脚本负责下载并解压一个包含三个文件的ZIP压缩包,随后通过DLL侧加载技术在设备上激活Matanbuchus加载器。 从安全角度来看,这类攻击手段显示出攻击者对系统漏洞的精准利用以及对用户行为的操控能力。企业与个人用户需提高警惕,尤其是在处理来源不明的脚本和文件时,应严格遵循安全操作规范,避免因一时疏忽而造成严重后果。同时,这也提醒我们,及时更新系统补丁、使用可靠的防病毒软件,是防范此类攻击的重要措施。

   Matanbuchus3.0升级后引入了多项新功能,其中将命令和控制(C2)通信及字符串混淆机制从RC4算法改为了Salsa20。此外,该恶意软件的负载现在能够在内存中直接启动,提升了隐蔽性。同时,新增了反沙盒验证机制,确保其仅在特定环境中运行,进一步增强了逃避检测的能力。 这种技术上的调整反映出攻击者在不断优化恶意软件的生存能力,尤其是在面对日益严格的安全防护时。将加密算法从RC4转向Salsa20,可能意味着对安全性与性能的更高要求。而内存加载和反沙盒机制的加入,则表明恶意软件正在向更隐蔽、更智能的方向发展,这对防御方提出了更高的挑战。

   恶意软件如今采用自定义的shellcode来直接执行系统调用,从而绕过Windows API封装和EDR钩子,进一步扩大了其规避安全工具监控的能力。在API调用过程中,该恶意软件使用“MurmurHash3”这种非加密哈希函数进行混淆,增加了逆向工程和静态分析的难度。

   关于Matanbuchus3.0的感染后功能,该恶意软件可执行CMD命令、PowerShell脚本以及EXE、DLL、MSI文件和shellcode载荷。该恶意软件会收集包括用户名、所属域、操作系统版本信息、正在运行的EDR/杀毒软件进程,以及相关进程的权限状态(管理员或普通用户)等详细数据。

电脑软件最新资讯
友情链接 百度权重≥3友情链接交换
数界探索  |  科技快讯中文网  |  经济脉动  |  科技先锋  |  财智慧  |  慧算财经  |  财经探秘  |  财经日报  |  今日财经  |  财经风向标
Copyright © 2025 智慧科技官网 网暻网络
备案号:陇ICP备16003923号-4 版权所有