Microsoft Teams: Matanbuchus 3.0 é usado para infectar empresas

Microsoft Teams: Matanbuchus 3.0 é usado para infectar empresas

O malware Matanbuchus 3.0 surgiu em fóruns clandestinos de cibercrime por volta de 2021, sendo anunciado como um "malware loader como serviço". Diferente de ransomwares convencionais, loaders são ferramentas utilizadas por grupos criminosos para injetar outros malwares na máquina da vítima, agindo como pontes para ameaças maiores, como Cobalt Strike, infostealers e ransomwares como Conti, LockBit e Hive.

No seu lançamento inicial, o Matanbuchus se destacou por sua discrição, execução em memória e capacidade de usar técnicas LOLBins (Living Off the Land Binaries), como msiexec.exe, rundll32.exe, e regsvr32.exe, para burlar soluções de segurança.

A versão 3.0, detectada em campanhas recentes, representa a maturidade dessa ameaça:

  • Mais resistente a EDRs
  • Uso agressivo de obfuscação
  • Melhor integração com scripts PowerShell
  • Comunicação persistente com C2 (Command and Control)

Mas o que realmente chama atenção é a nova tática de distribuição: o uso do Microsoft Teams como vetor inicial.

Somos uma empresa especializada em Tecnologia da Informação.
Atendemos presencialmente as cidades de Belo Horizonte e região metropolitana, e oferecemos atendimento remoto para Rio de Janeiro, São Paulo, Salvador, Brasília, Vitória, Goiânia e Porto Alegre.
Atuamos com soluções e serviços de TI personalizados (outsourcing) e disponibilizamos profissionais capacitados para atuar in loco.
Para demais localidades, consulte a viabilidade através do e-mail comercial@4infra.com.br.

Fale com um consultor

Engenharia social usando o Microsoft Teams

O Microsoft Teams se tornou um canal essencial para o trabalho remoto e colaborativo — e, justamente por isso, um alvo atrativo para cibercriminosos. A nova onda de ataques com o Matanbuchus 3.0 explora a confiança no ambiente da ferramenta, usando perfis falsos para se passar por equipe de suporte de TI da empresa.

Etapas do ataque:

1. Perfis falsos e contato inicial Os atacantes criam contas externas no Teams e iniciam conversas com colaboradores alegando fazer parte da equipe de TI, ou de um parceiro terceirizado. Em muitas empresas, a comunicação externa está ativada por padrão — abrindo a porta para esse tipo de ação.

2. Chamadas de voz/vídeo com aparência legítima Durante a conversa, o atacante compartilha tela ou pede para a vítima abrir o Quick Assist, aplicativo nativo do Windows para suporte remoto. Com isso, o criminoso assume controle total da máquina, de forma "consentida".

3. Execução de script malicioso Na sessão remota, o atacante executa um script PowerShell que:

  • Faz download de um .ZIP com nome aparentemente inofensivo (ex: tools_update.zip)
  • Extrai arquivos como um .exe legítimo (ex: Notepad++, VLC), um .XML e uma DLL maliciosa do Matanbuchus 3.0

4. DLL sideloading e execução furtiva O .exe é executado e carrega automaticamente a DLL maliciosa graças ao sideloading — técnica que explora o carregamento indevido de bibliotecas em softwares legítimos. Com isso, o Matanbuchus 3.0 entra em ação sem alertas do antivírus.

5. Pós-exploração com Cobalt Strike Após obter persistência e conexão ao servidor C2, o Matanbuchus 3.0 pode:

  • Instalar o framework Cobalt Strike
  • Mapear a rede local
  • Realizar movimentos laterais
  • Instalar ransomwares ou ferramentas de espionagem

Por que o Matanbuchus 3.0 é tão perigoso?

O Matanbuchus 3.0 é uma ameaça silenciosa, pensada para evadir detecção e operar dentro dos padrões legítimos do Windows. Suas principais capacidades incluem:

  • 💥 Execução em memória: Não deixa rastros no disco.
  • 🧬 Obfuscação com Salsa20: Criptografa strings internas, dificultando a análise estática.
  • 🔄 Suporte a múltiplos payloads: Shellcodes, DLLs, arquivos MSI e EXE.
  • 👁️ Monitoramento remoto: Estabelece shells reversos e monitora o sistema em tempo real.
  • 🚫 Técnicas anti-sandbox: Detecta ambientes de análise e se auto encerra.
  • 🌍 Filtro geográfico: Evita infectar máquinas com idioma russo, ucraniano e outros da CEI.

Casos reais e contexto corporativo

Vítimas recentes revelaram que os ataques foram:

  • Direcionados a profissionais de suporte e helpdesk
  • Feitos durante o horário comercial com chamadas reais pelo Teams
  • Disfarçados como suporte legítimo ou atualizações de segurança

Uma vez que o Matanbuchus 3.0 obtém acesso, ele pode instalar ransomwares, roubar credenciais, realizar movimentações laterais e exfiltrar dados sensíveis — tudo isso com aparência de operação interna.

Medidas de mitigação e prevenção

1. Restrinja comunicações externas no Microsoft Teams

  • Configure políticas de comunicação entre tenants.
  • Permita apenas domínios confiáveis ou parceiros validados.

2. Controle e audite o uso do Quick Assist

  • Bloqueie o aplicativo via GPO se não for necessário.
  • Substitua por ferramentas corporativas com autenticação.

3. Reforce segurança do PowerShell

  • Aplique Set-ExecutionPolicy AllSigned ou Restricted
  • Monitore scripts que usam Invoke-WebRequest, Start-Process, Add-Type

4. Educação e simulações internas

  • Treine colaboradores com simulações de phishing por Teams
  • Reforce que nenhum suporte legítimo pedirá para executar scripts ou baixar arquivos desconhecidos

5. Implante EDRs com foco em comportamento

  • Detectores baseados em heurística ou comportamento são mais eficazes que antivírus tradicionais.
  • Monitore anomalias de rede e processos que executam DLLs fora do padrão.

O que a 4infra recomenda para usuários de Microsoft Teams?

A sofisticação do Matanbuchus 3.0, aliada ao uso de engenharia social via Microsoft Teams, representa uma nova fronteira para o cibercrime corporativo. A ameaça já não depende apenas de falhas técnicas, mas sim da exploração da confiança humana e da rotina corporativa.

Empresas que não adotarem uma postura ativa de defesa — com políticas restritivas, monitoramento contínuo e treinamentos — estarão altamente vulneráveis.

Matanbuchus 3.0 não é só um vírus silencioso. É um agente de penetração profissional, usado por grupos organizados para quebrar defesas sem levantar suspeitas.

Se a sua empresa utiliza o Microsoft Teams, o mínimo que você pode fazer agora mesmo é:

  • Bloquear comunicações externas
  • Auditar o uso de ferramentas de assistência remota
  • Reforçar alertas internos sobre ataques de engenharia social

O que parece uma chamada comum de TI, pode ser o início de um sequestro digital corporativo.

Contato e Informações

Conheça a 4Infra!

A 4infra atua com soluções e serviços para melhorar a produtividade e segurança da informação do seu negócio.

Saiba mais sobre como podemos auxiliá-lo no suporte à sua infraestrutura de TI.

📞 (31) 3195-0580

🌍Acesse nosso site https://4infra.com.br para saber mais sobre nossos serviços.

📍 Estamos localizados em Belo Horizonte/MG na Rua Marechal Foch, 41, Pilotis no Bairro Grajaú.

⏰ Nosso horário de funcionamento é de segunda a sexta de 08:00hs às 18:00hs

#MicrosoftTeams #Matanbuchus3 #MalwareSofisticado #Cibersegurança #AtaquesCibernéticos #Phishing #Ransomware #SegurançaDigital #ProteçãoEmpresarial #4infra #Microsoft365 #CyberThreats #SocialEngineering #MalwareAsAService #CyberAwareness #SecurityBreach #ITSecurity #DigitalRisk #TechNews #CyberAttack #SegurançaCibernética #ProtejaSuaEmpresa #SegurançaTI #PrevençãoDeAtaques #TreinamentoDeSegurança #AutenticaçãoMultifatorial #SegurançaEmNuvem #PolíticaDeSegurança #GestãoDeRiscos #Compliance

4infra Consultoria em TI

leandro
Leandro está no mercado de TI desde 1997, onde já atuou em grandes empresas em Belo Horizonte, São Paulo, Brasília. Conhece do inicio ao fim tudo que envolve infraestrutura de TI, especialista em soluções Microsoft 365, Fortinet, Acronis e Redes Wireless, mas ao longo do tempo foi se aperfeiçoando e passou a cuidar da parte Administrativa, Marketing e Financeira na 4infra e como um bom Atleticano sempre está presente nos jogos do GALO.
18 de julho de 2025

Próximos Artigos
Deixe uma resposta

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *


Endereço:
Marechal Foch, 41, Pilotis
B. Grajaú - Belo Horizonte - MG

Fale Conosco:

(31) 3195-0580 | Belo Horizonte
(21) 4040-1165 | Rio de Janeiro
(11) 5026-4335 | São Paulo
(71) 4040-4195 | Salvador
(61) 3686-7445 | Brasília
(27) 2464 2907 | Vitoria
(62) 3412 2415 | Goiânia
(51) 2391 1667 | Porto Alegre

comercial@4infra.com.br

Funcionamento:
Segunda à Sexta: 8h às 18h


Institucional:

Blog
Fórum
Contato
Seja Parceiro
LGPD

Rede Wireless (sem fio):

WiFi Empresarial
Unifi para Empresas
Site Survey
Troubleshooting Wi-Fi

Proteção Cibernética:

Antivírus Empresarial
Acronis Backup e Recuperação
Criptografia de Informações
DLP: Prevenção de Perda de Dados
Disaster Recovery
Firewall Fortinet | PfSense |Mikrotik

E-mail e Produtividade:

Office 365
Microsoft SharePoint
Zoho Mail - Gestão Webmail
VoIP Empresarial
Zimbra - Email Conferência e Produtividade

Serviços de TI

Consultoria
Suporte Remoto e Presencial
Help Desk | Service Desk
Gerenciamento de Servidores
Controle de Tráfego de Internet
Gerenciamento de Redes
Terceirização de TI - Outsourcing
Monitoramento de atividades
Virtualização de Servidores
Assistência Técnica de Equipamentos
Internet Via Satélite Starlink
PABX | Central Telefônica

4infra Consultoria em TI:
Soluções e Serviços para empresas
chevron-down