Angreifer nutzen Microsoft-Teams-Anrufe, um Benutzer dazu zu verleiten, die Malware Matanbuchus zu installieren. Laut Forschern von Morphisec geht dieser Malware-Loader häufig der Bereitstellung von Ransomware voraus.
Matanbuchus ist ein Malware-as-a-Service-Angebot, mit dem Angreifer zusätzliche Schadprogramme auf infizierten Windows-Systemen installieren können.
„In den letzten neun Monaten wurde Matanbuchus in gezielten Kampagnen eingesetzt, die möglicherweise zu Ransomware-Angriffen geführt haben", so Morphisec.
„Vor kurzem wurde Matanbuchus 3.0 mit bedeutenden Updates eingeführt. In einem der jüngsten Fälle (Juli 2025) wurde ein Kunde von Morphisec über externe Microsoft-Teams-Anrufe angegriffen, bei denen sich die Anrufer als IT-Helpdesk ausgaben. Während dieses Gesprächs wurde Quick Assist aktiviert und die Mitarbeiter wurden angewiesen, ein Skript auszuführen, das den Matanbuchus-Loader installierte."
Die Angreifer nutzen Social Engineering, um die Mitarbeiter dazu zu bringen, eine schädliche Datei herunterzuladen, was zur Installation von Malware führt.
„Die Opfer werden sorgfältig ausgewählt und dazu überredet, ein Skript auszuführen, das den Download eines Archivs auslöst", schreiben die Forscher. „Dieses Archiv enthält einen umbenannten Notepad++-Updater (GUP), eine leicht modifizierte XML-Konfigurationsdatei sowie eine bösartige, seitlich geladene DLL, die den Matanbuchus-Loader darstellt. In früheren Kampagnen im September 2024 wurde ein MSI-Installationsprogramm heruntergeladen, was letztendlich zu einem ähnlichen Ablauf der seitlichen Ausführung des Notepad++-Updaters führte."
Sobald die Malware installiert ist, schafft sie sich eine versteckte Basis, um auf dem infizierten System dauerhaft präsent zu bleiben.
„Um kontinuierlich ‚nach Hause zu telefonieren', muss Matanbuchus Persistenz schaffen. Dies wird durch die Planung einer Aufgabe erreicht", sagt Morphisec und fügt hinzu: „Das klingt zwar einfach, aber die Entwickler von Matanbuchus haben fortschrittliche Techniken implementiert, um eine Aufgabe durch die Verwendung von COM und die Injektion von Shellcode zu planen."
KI-gestützte Schulungen zum Sicherheitsbewusstsein können Ihre Mitarbeiter befähigen, Social-Engineering-Taktiken zu erkennen und zu verhindern, dass Ransomware-Akteure ersten Zugriff auf Ihr Netzwerk erhalten. KnowBe4 befähigt Ihre Mitarbeiter, jeden Tag intelligentere Sicherheitsentscheidungen zu treffen. Über 70.000 Organisationen weltweit vertrauen auf die KnowBe4-Plattform, um ihre Sicherheitskultur zu stärken und menschliche Risiken zu reduzieren.
Morphisec hat die Story.
Demo anfragen: Security Awareness Training
New-school Security Awareness Training ist entscheidend, damit Sie und Ihr IT-Personal mit den Benutzern in Kontakt treten und ihnen helfen können, jederzeit die richtigen Sicherheitsentscheidungen zu treffen. Dies ist keine einmalige Angelegenheit. Kontinuierliche Schulungen und simuliertes Phishing sind notwendig, um die Mitarbeiter:innen als Ihre letzte Verteidigungslinie zu mobilisieren. Fordern Sie Ihre persönliche Demo der KnowBe4-Plattform für Sicherheitsschulungen und simuliertes Phishing an und sehen Sie, wie einfach es sein kann!
Demo anfragen
PS: Sie mögen es nicht, auf weitergeleitete Links zu klicken? Kopieren und fügen Sie den folgenden Link einfach in Ihren Browser ein:
https://www.knowbe4.com/kmsat-security-awareness-training-demo