Uma campanha de ciberataques está chamando a atenção de especialistas por usar uma combinação perigosa de engenharia social e ferramentas legítimas do Windows para invadir sistemas corporativos. O alvo da vez é o Microsoft Teams, que vem sendo explorado por criminosos para disseminar o Matanbuchus, um tipo de malware projetado para rodar silenciosamente na memória do computador e instalar outras ameaças ainda mais perigosas.
Golpe começa com falso suporte técnico
A empresa de segurança Morphisec identificou a campanha em atividade desde o início de julho. Nos ataques, os criminosos se passam por funcionários de suporte técnico e entram em contato com as vítimas por meio de chamadas no Microsoft Teams. Durante a conversa, eles orientam a pessoa a ativar o Quick Assist, ferramenta do Windows que permite o compartilhamento da tela com outra pessoa — um recurso comum em atendimentos reais.
Depois que o acesso remoto é concedido, o criminoso convence a vítima a executar um script, que instala o Matanbuchus Loader de forma quase imperceptível.
Como o malware funciona?
O Matanbuchus não é um vírus comum. Ele atua diretamente na memória do sistema, o que dificulta a detecção por antivírus tradicionais. Uma vez ativado, ele pode executar outras ameaças — como ransomwares — com altos níveis de privilégio, ou seja, com grande liberdade para agir dentro da máquina.
Esse malware é oferecido como Malware-as-a-Service (MaaS) desde 2021. Ou seja, qualquer cibercriminoso que tenha dinheiro pode alugar o serviço. A versão atual, chamada Matanbuchus 3.0, tem funções mais sofisticadas, como:
-
Comunicação avançada via diferentes protocolos;
-
Execução de cargas maliciosas diretamente na memória;
-
Técnicas de camuflagem para escapar de sistemas de segurança;
-
Controle remoto via CMD e PowerShell;
-
Capacidade de rodar arquivos maliciosos como DLLs, EXEs e shellcodes.
O serviço é alugado por valores que vão de 10 mil a 15 mil dólares por mês, dependendo da versão.
Quem está na mira dos ataques?
O foco principal da campanha são ambientes corporativos. Funcionários que lidam com suporte técnico em empresas são os mais visados, especialmente porque é comum recorrer à ajuda da equipe de TI para resolver problemas técnicos — o que facilita a abordagem dos golpistas.
De acordo com Michael Gorelik, diretor de tecnologia da Morphisec, o processo de infecção é cuidadosamente elaborado. Os hackers orientam a vítima a baixar um arquivo compactado contendo:
-
Um instalador renomeado do Notepad++ (um editor de texto popular);
-
Um arquivo de configuração XML levemente alterado;
-
Uma DLL maliciosa, que é carregada sem levantar suspeitas.
Juntos, esses elementos ativam o Matanbuchus Loader, abrindo as portas do sistema para ataques mais complexos.
Como se proteger?
Diante desse tipo de ameaça, algumas medidas de segurança podem ajudar:
-
Verifique a identidade de quem entra em contato via Teams ou e-mail, especialmente se a pessoa pedir acesso remoto;
-
Evite compartilhar sua tela ou executar scripts enviados por terceiros, mesmo que pareçam fazer parte da equipe de suporte;
-
Mantenha seu sistema operacional e antivírus atualizados;
-
Treine os funcionários da sua empresa sobre golpes de engenharia social e boas práticas de cibersegurança.
A combinação entre aparência legítima e técnicas avançadas de invasão torna o Matanbuchus um dos malwares mais perigosos em circulação. Ficar atento e bem informado é o primeiro passo para se proteger.
