Les chercheurs de Morphisec ont découvert une nouvelle version de Matanbuchus, un logiciel malveillant apparu en 2021. Depuis sa création, le virus est utilisé pour infecter des systèmes afin de déployer d’autres malwares, comme des ransomwares, des portes dérobées ou encore des outils de contrôle à distance, tels que Cobalt Strike.
À lire aussi : Cyberattaque russe contre Microsoft – une technique de phishing élaborée piège les utilisateurs
Un appel Microsoft Teams et un faux service technique
Dans le cadre de la cyberattaque identifiée par Morphisec, les pirates se servent de Microsoft Teams pour propager Matanbuchus. Tout commence avec un appel vocal, émis par un compte externe, c’est-à-dire en dehors de l’organisation.
Durant l’appel, l’attaquant va se faire passer pour un membre du service informatique de l’entreprise. Il va alors tenter de convaincre son interlocuteur lancer Quick Assist, un outil intégré à Windows qui permet de donner le contrôle de son PC à distance. Pour berner sa cible, le pirate peut prétexter un problème de sécurité quelconque.
Une fois que Quick Assist est lancé, la victime partage un code avec le pirate, qui peut alors prendre la main sur l’ordinateur. Une fois connecté, l’attaquant demande à l’utilisateur de lancer un script PowerShell, prétextant une manipulation de sécurité, comme une mise à jour. Le script télécharge et décompresse une archive Zip depuis Internet. C’est à ce moment-là que Matanbuchus fait son entrée sur la machine, ouvrant la porte à tous les abus. Bien souvent, le virus mène à l’installation d’un ransomware, qui va chiffrer et exfiltrer toutes les données de l’ordinateur.
Ce n’est pas la première fois que des pirates se servent d’appels Microsoft Teams pour propager des logiciels malveillants. C’est le cas des hackers de Black Basta, dont les opérations d’extorsion par ransomware commencent également par appel sur Teams, ou de DarkGate, un autre gang spécialisé dans l’extorsion.
« Une menace sophistiquée »
Pour les chercheurs de Morphisec, Matanbuchus a évolué pour devenir « une menace sophistiquée ». Le virus embarque en effet désormais une foule de fonctionnalités permettant de passer inaperçu, et d’échapper aux antivirus. On vous recommande de redoubler de prudence si vous recevez un appel inattendu sur Microsoft Teams. On conseille aux administrateurs de désactiver les communications avec des utilisateurs externes. Celles-ci sont activées par défaut, ce qui permet à n’importe qui de contacter les collaborateurs d’une entreprise.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Morphisec
