Nicolai Busekist
Der bliver advaret om, at hackere har valgt at målrette deres angreb mod Microsoft Teams, men ikke alle brugere er i fare.
En gruppe sikkerhedsforskere advarer nu om en igangværende kampagne, hvor Microsoft Teams-opkald bruges til at sprede et stykke malware, der har fået navnet Matanbuchus 3.0.
Ifølge cybersikkerhedsfirmaet Morphisec vælger en ukendt hackergruppe først deres ofre omhyggeligt ud, hvorefter de kontakter dem via Microsoft Teams og udgiver sig for at være et eksternt IT-team.
De forsøger at overbevise det pågældende offer om, at der er et problem med deres enhed, og at de skal give fjernadgang, så det kan blive løst. Fordi ofrene udvælges meget specifikt, er der større sandsynlighed for, at angrebet lykkes.
Dyr malware som en tjeneste
Når adgangen er givet – ofte gennem Windows’ Quick Assist-funktion – udfører angriberne et PowerShell-script, som installerer Matanbuchus 3.0. Det er en form for malware-loader, der kan føre til installation af Cobalt Strike-beacons eller endda ransomware.
“Ofrene bliver nøje udvalgt og overtalt til at køre et script, der downloader et arkiv,” siger Morphisecs CTO, Michael Gorelik, ifølge TechRadar.
“Dette arkiv indeholder en omdøbt Notepad++-opdatering (GUP), en let ændret konfigurationsfil i XML-format og en ondsindet side-loadet DLL-fil, som udgør Matanbuchus-loaderen.”
Denne malware blev først opdaget i 2021, hvor cyberkriminelle annoncerede den på russisktalende fora til en pris på 2.500 dollars (ca. 16.100 kroner), skriver The Hacker News.
Siden da er malwaren blevet videreudviklet med nye funktioner, bedre kommunikation, øget usynlighed, understøttelse af CMD og PowerShell og meget mere. Prisen er også steget, da den nu koster 10.000 dollars (ca. 64.300 kr.) om måneden for HTTPS-versionen og 15.000 dollars (ca. 95.500 kr.) for DNS-versionen.
Selvom forskerne ikke nævner, hvem der står bag, påpeger de, at lignende social engineering-metoder tidligere er blevet brugt af gruppen Black Basta til at udrulle ransomware.
Tidligere var Black Basta en af de farligste ransomware-operationer, men siden er denne gruppe gradvist forsvundet. I slutningen af februar i år lækkede en cyberkriminel en række chatlogs, der afslørede gruppens interne arbejdsmetoder.
