Hackeri šíria vírus Matanbuchus 3.0 cez aplikáciu, ktorú máš v počítači aj ty a ani o tom netušíš
Matanbuchus 3.0 sa šíri cez Microsoft Teams, aplikáciu, ktorú nájdeš takmer v každom počítači. Hackeri zneužívajú firemné nástroje na šírenie malvéru a získavanie prístupu do systémov.
Kybernetické útoky sa neustále vyvíjajú a s nimi aj spôsoby, akými sa hackeri snažia dostať do systémov firiem čo počítačov bežných ľudí. Najnovšie bezpečnostní experti varujú pred novou hrozbou, kvôli aktualizovanej verzii známeho malvéru Matanbuchus, ktorá sa šíri cez Microsoft Teams. Ak si doteraz považoval túto aplikáciu za bezpečnú, mal by si spozornieť. Upozornil na to portál The Hacker News. Rovnako treba podotknúť, že táto aplikácia je prítomná prakticky v každom Windows počítači.
Čo je Matanbuchus?
Matanbuchus nie je žiadna novinka. Ide o takzvaný malware-as-a-service (MaaS), čo znamená, že si ho môžu hackeri prenajať ako službu, podobne ako si ty platíš Netflix. Prvýkrát sa objavil v roku 2021 na ruských hackerských fórach s cenovkou 2 500 dolárov mesačne. Jeho úlohou nie je spôsobiť škodu priamo, ale pripraviť pôdu pre ďalší škodlivý softvér, napríklad ransomvér alebo nástroje ako Cobalt Strike.
V minulosti sa šíril najmä cez phishingové e-maily, falošné aktualizácie alebo podozrivé odkazy. Dnes však prichádza s novými trikmi, ktoré ťa môžu prekvapiť.
Verzia 3.0 je ešte prefíkanejšia
Najnovšia verzia, Matanbuchus 3.0, je oveľa sofistikovanejšia než jej predchodcovia. Vývojári do nej pridali funkcie ako zlepšené šifrované komunikácie, in-memory spúšťanie kódu, ktoré nezanecháva stopy na disku, a podpora PowerShell a CMD reverse shellov, čo hackerom umožňuje ovládnuť systém na diaľku.
Okrem toho dokáže spúšťať ďalšie škodlivé súbory vo forme DLL, EXE alebo shell kódu a používa techniky na skrytie pred antivírusmi, vrátane pokročilej obfuskácie.
Neprehliadni
To, čo znepokojuje bezpečnostných expertov najviac, je nový spôsob šírenia malvéru, cez Microsoft Teams. V nedávnom prípade, ktorý zaznamenala bezpečnostná firma Morphisec, kontaktovali hackeri zamestnancov nemenovanej firmy cez Teams, predstierali, že sú z IT podpory, a presvedčili ich, aby spustili Quick Assist, nástroj na vzdialenú pomoc od Microsoftu.
Po tom, ako obete dali hackerom prístup do systému, útočníci spustili PowerShell skript, ktorý následne stiahol a spustil Matanbuchus. Všetko prebehlo rýchlo, bez akýchkoľvek podozrivých okien alebo upozornení.
Po spustení sa malvér najprv pozrie, aké bezpečnostné nástroje bežia, a či má administrátorské práva. Potom odosiela zozbierané informácie na svoj riadiaci server (takzvaný C2 server), odkiaľ môže dostať ďalšie inštrukcie alebo škodlivé súbory. Pre zabezpečenie trvalej prítomnosti v systéme si dokonca vytvára naplánovanú úlohu, ale nie obyčajným spôsobom. Využíva na to takzvané COM objekty a shell kód, čo je technika, ktorú bežné antivírusy ťažko detegujú.
Zaujímavosťou je, že táto verzia podporuje aj WQL dotazy, a teda si vie vyžiadať zoznam všetkých bežiacich procesov, služieb a nainštalovaných aplikácií.
Čo si z toho odniesť?
Matanbuchus 3.0 je jasným dôkazom toho, že malvér je dnes biznis ako každý iný, s technickou podporou, aktualizáciami a dokonca aj „licencovaním“. Šírenie cez nástroje ako Microsoft Teams pritom naznačuje, že hackeri sa zameriavajú na sociálne inžinierstvo, teda využívanie ľudskej dôverčivosti.
Ak teda napríklad pracuješ v korporátnom prostredí a používaš nástroje ako Teams, buď obozretný. Ak ťa kontaktuje „IT podpora“ a žiada ťa o spustenie Quick Assist alebo PowerShellu, radšej si to over u svojich kolegov alebo priamo na IT oddelení. Doba, kedy sa škodlivý softvér skrýval len v podozrivých prílohách e-mailov, je dávno preč. Dnes môže prísť aj cez bežný videohovor.
