Microsoft Teams, minaccia Matanbuchus: come difendersi dal malware

Le piattaforme di collaborazione aziendale rappresentano oggi una delle principali sfide per la sicurezza informatica, come sottolineato dal team di Morphisec nella sua recente analisi sulle minacce emergenti.

Un esempio lampante di questa vulnerabilità è l’emergere di attacchi sempre più sofisticati che sfruttano Microsoft Teams come vettore per la diffusione di malware avanzati, in particolare la nuova variante del famigerato Matanbuchus.

La tecnica utilizzata si basa su sofisticate strategie di social engineering: gli aggressori si fingono operatori del supporto IT e, sfruttando le impostazioni permissive di accesso esterno della piattaforma, riescono a instaurare un contatto diretto con le potenziali vittime. Attraverso conversazioni credibili e ben costruite, convincono gli utenti ad avviare sessioni di Quick Assist, lo strumento di assistenza remota integrato in Windows, e li guidano passo dopo passo nell’esecuzione di script dannosi.

La nuova versione di Matanbuchus preoccupa gli esperti di cybersecurity

La versione 3.0 di Matanbuchus rappresenta un salto qualitativo rispetto alle precedenti release. Una delle novità più rilevanti riguarda la sostituzione dell’algoritmo di cifratura RC4 con Salsa20 per la comunicazione con i server di comando e controllo (C2). Questa modifica, insieme all’introduzione di meccanismi avanzati per eludere i sistemi di rilevamento, rende il malware estremamente difficile da intercettare.

Di particolare rilievo è la capacità di eseguire syscalls dirette tramite shellcode personalizzato, aggirando le API di Windows che sono solitamente monitorate dai sistemi Endpoint Detection and Response (EDR). In questo modo, Matanbuchus riesce a operare in modo stealth, aumentando sensibilmente le probabilità di successo dell’attacco.

Il modus operandi degli attaccanti è tanto semplice quanto efficace: dopo aver stabilito un contatto su Teams, si presentano come tecnici dell’helpdesk e chiedono alla vittima di aprire Quick Assist. Una volta ottenuto l’accesso remoto, guidano l’utente nell’esecuzione di comandi PowerShell che consentono di scaricare e attivare il malware direttamente in memoria, senza lasciare tracce evidenti sul disco.

Il payload malevolo, una volta attivo, si occupa di raccogliere informazioni dettagliate sul sistema compromesso: nome utente, dominio, versione del sistema operativo e processi di sicurezza attivi. Questi dati sono fondamentali per consentire agli aggressori di personalizzare ulteriormente l’attacco, adattandolo alle specifiche difese presenti sulla macchina target.

Non si tratta di un fenomeno completamente nuovo: già nel 2023, Teams era stato utilizzato come vettore per la distribuzione di altri malware come DarkGate, sfruttando configurazioni errate dei permessi di accesso esterno. Tuttavia, la rapidità con cui le tecniche di attacco si evolvono e la crescente sofisticazione degli strumenti impiegati, come la recente adozione di Salsa20 e la capacità di eludere i sistemi EDR, impongono una riflessione urgente sulle strategie di difesa.

Gli esperti di sicurezza sottolineano la necessità di rafforzare le policy di accesso alle piattaforme di collaborazione e di investire nella formazione del personale, affinché sia in grado di riconoscere i tentativi di social engineering. Un’attenzione particolare deve essere rivolta anche all’aggiornamento costante dei sistemi di protezione e all’adozione di strumenti di monitoraggio avanzati, in grado di individuare comportamenti anomali e bloccare tempestivamente le minacce.