Matanbuchus 恶意软件出现新变种，开始通过微软 Teams 应用进行社交工程分发，并窃取 Windows 10、Windows 11 设备数据。

Matanbuchus 最早可追溯至 2021 年，以恶意软件即服务（malware-as-a-service）形式在暗网出售，初始售价为 2500 美元，具备内存中执行恶意负载能力。

安全专家 Brad Duncan 在 2022 年 6 月发现其衍生版本，用于大规模垃圾邮件活动，并分发 Cobalt Strike 信标。

Matanbuchus 3.0 增强了逃避检测、代码混淆和后续攻击能力，攻击者通过 Microsoft Teams 通话伪装成合法 IT 帮助台，诱导用户启动 Windows 内置远程支持工具 Quick Assist。

攻击者在获得远程访问权限后，引导用户执行 PowerShell 脚本，下载并解压包含三个文件的 ZIP 归档包，通过 DLL 侧加载启动 Matanbuchus 加载器。

Matanbuchus 3.0 将命令和控制（C2）通信及字符串混淆算法从 RC4 切换为 Salsa20，负载在内存中运行，并新增反沙盒机制，确保仅在特定环境下执行。

该恶意软件使用自定义 shellcode 绕过 Windows API 封装和 EDR 钩子，API 调用通过 MurmurHash3 哈希函数混淆，提高逆向工程和静态分析难度。

感染后，Matanbuchus 3.0 可执行 CMD 命令、PowerShell 或 EXE、DLL、MSI 和 shellcode 负载，收集用户名、域、操作系统版本、EDR / AV 进程以及权限状态等信息。

免责声明：本文内容由开放的智能模型自动生成，仅供参考。