"IT Destek" Adı Altında Sisteminize Sızıyorlar! Matanbuchus 3.0 ile Microsoft Teams Üzerinden Gerçekleşen Tehlikeli Yeni Saldırı Yöntemi Ortaya Çıktı

Matanbuchus Loader’ın yeni sürümü, Microsoft Teams üzerinden yapılan sahte “IT Destek” çağrılarıyla sistemlere sızarak yalnızca RAM'de çalışan ve antivirüsleri atlatan gelişmiş bir fidye yazılım saldırısına zemin hazırlıyor. Kurumlar, özellikle Quick Assist taleplerine karşı dikkatli olmalı.

   

 

Özet:
Microsoft Teams üzerinden gelen sahte “IT Destek” çağrısıyla yayılan Matanbuchus 3.0 zararlısı, sistemlere sızarak fidye yazılım saldırılarına zemin hazırlıyor. RAM’de çalışan, antivirüsleri atlatan ve Skype trafiği gibi davranan bu siber tehdide karşı dikkatli olun!

“IT Destek” Kılığında Saldırıyorlar! Matanbuchus 3.0 ile Microsoft Teams Üzerinden Siber Sızma!

Yeni keşfedilen Matanbuchus 3.0 zararlısı, Microsoft Teams üzerinden sahte IT destek çağrılarıyla sistemlere sızıyor. Sosyal mühendislik teknikleriyle kullanıcıları kandıran saldırganlar, zararlı yazılımı sistemlere hiçbir antivirüs uyarısı olmadan yerleştirmeyi başarıyor.

Matanbuchus Loader’ın 3. sürümü, Quick Assist ve dosya paylaşımı yoluyla sisteme sızıyor. Ardından zararlı bir libcurl.dll dosyası, GenericUpdater.exe üzerinden çalıştırılıyor. Bu yöntem “DLL Sideloading” olarak biliniyor ve güvenliğe takılmadan çalışabiliyor.

• Microsoft Teams üzerinden sahte bir “IT Destek” araması yapılır
• Kullanıcıdan Quick Assist açması istenir
• “GenericUpdater.exe” dosyası gönderilir
• libcurl.dll üzerinden Matanbuchus belleğe enjekte edilir
• Arka planda sistem taraması başlar

Bu saldırılar şu an aktif olarak Avrupa, ABD ve Türkiye gibi ülkelerdeki şirketleri hedef alıyor. Özellikle Microsoft Teams kullanan kurumlar, devlet yapıları ve uzaktan çalışanlar tehdit altında.

• Diskte iz bırakmadan sadece RAM’de çalışır
• EDR atlatır – dolaylı sistem çağrıları kullanır
• Sistem konfigürasyonunu MurmurHash3 ve Salsa20 ile şifreli saklar
• Skype trafiği gibi davranarak C2 sunucusuna veri gönderir
• PowerShell, CMD, MSI installer ve WMI gibi yöntemlerle farklı şekillerde tetiklenebilir

• Teams çağrılarını kimden geldiğine bakmadan kabul etmeyin
• Quick Assist isteklerini reddedin, teyitsiz bağlantı kurmayın
• “GenericUpdater.exe” gibi belirsiz dosyaları çalıştırmayın
• EDR sistemlerinizi güncel tutun, davranışsal analiz desteği olan çözümler kullanın
• PowerShell ve CMD komutlarına kısıtlama getirin

Unutmayın: Güvenli görünen araçlar (Teams, Quick Assist) bile saldırganlar tarafından suistimal edilebilir. Her çağrıya ve dosyaya şüpheyle yaklaşın. Bu saldırı şimdi aktif. Tehdit kapınızda olabilir!

Kaynak: CUMHA - CUMHUR HABER AJANSI