Matanbuchus : le malware qui se fait passer pour votre support IT sur Microsoft Teams

Une nouvelle campagne de distribution du malware Matanbuchus a été repérée sur Microsoft Teams ! Les cybercriminels font usage de l'ingénierie sociale pour tromper leurs victimes puisqu'ils se font passer pour un technicien du support informatique. Voici ce que l'on sait.

Microsoft Teams et Quick Assist : le duo fatal pour l'accès initial

Les attaquants derrière le malware Matanbuchus ont développé un mode opératoire destiné à tirer profit de la confiance des utilisateurs pour les outils de communication et de support. La première étape de la chaîne d'infection est un appel externe sur Microsoft Teams, où le cybercriminel se présente auprès de sa victime comme un membre de l'équipe helpdesk (support informatique) de l'entreprise. Il y a donc une usurpation d'identité.

La seconde étape consiste à convaincre l'utilisateur de lancer l'Assistance Rapide (Quick Assist), l'outil de prise en main à distance intégré nativement à Windows. C'est une étape essentielle dans le processus d'attaque, car l'Assistance Rapide offre à l'attaquant un accès interactif à la session de l'utilisateur. Autrement dit, l'attaquant met déjà un pied sur le réseau de l'entreprise. Mais, ce n'est pas suffisant, l'attaquant doit alors guider la victime pour qu'elle exécute un script PowerShell. Ce script malveillant télécharge une archive ZIP contenant trois fichiers, qui seront utilisés pour lancer le chargeur de Matanbuchus via la technique "DLL side-loading".

Microsoft Teams est régulièrement détourné à des fins malveillantes, on se rappelle notamment des attaques impliquant le malware DarkGate dans le cadre d'une campagne de vishing. La campagne évoquée ici a été repérée en juillet 2025, nous parlons donc d'une menace actuelle.

Matanbuchus 3.0 : un malware plus furtif et plus puissant

Identifié pour la première fois en 2021 sur le dark web comme un "Malware-as-a-Service" (MaaS), Matanbuchus était alors vendu comme un malware capable d'exécuter des charges utiles directement en mémoire pour déjouer les détections. La nouvelle version, Matanbuchus 3.0, se veut encore plus sophistiquée, d'après les chercheurs de chez Morphisec.

Par exemple, les cybercriminels ont remplacé l'algorithme RC4 par Salsa20 pour les communications avec le serveur de C2 et pour l'obfuscation des chaînes de caractères. Plus significatif encore, le malware n'utilise plus les fonctions classiques de l'API Windows. À la place, il exécute des appels système directs (que l'on appelle "syscalls") via un shellcode personnalisé, contournant ainsi les wrappers de l'API et les hooks des EDR.

"Cette version actualisée introduit des techniques avancées telles que des protocoles de communication améliorés, la furtivité en mémoire, l'obscurcissement amélioré et la prise en charge des requêtes WQL, CMD et des interpréteurs de commandes inversés PowerShell.", précisent les chercheurs dans leur rapport.

Une fois actif, Matanbuchus 3.0 collecte une multitude d'informations sur le système compromis : nom d'utilisateur, domaine, version de l'OS, processus de sécurité (EDR/AV) en cours d'exécution et le niveau de privilèges de son propre processus. Morphisec estime que Matanbuchus 3.0 a désormais évolué en tant que menace sophistiquée.

Source

Florian BURNEL Co-founder of IT-Connect

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

Voir la bio complète