Bisnis.com, JAKARTA — Mophisec, perusahaan yang bergerak di bidang keamanan siber, menemukan kampanye serangan siber memanfaatkan panggilan Microsoft Teams untuk menyebarkan ransomware Matanbuchus.
Malware tersebut disebar oleh peretas yang menyamarkan diri sebagai meja bantuan TI. Versi terbaru dari Matanbuchus mampu melakukan kemampuan penghindaran, pengaburan, dan pasca-kompromi yang lebih ditingkatkan.
Dalam beberapa tahun terakhir, aplikasi panggilan Microsoft telah disalahgunakan untuk membobol organisasi, peretas menggunakan rekayasa sosial, yaitu menyusup ke obrolan dan menipu pengguna komputer, untuk kemudian mengirimkan malware tahap pertama.
Dilansir Bleeping Computer Jumat(18/07/25), Morphisec mengatakan, Ransomware Matanbuchus versi 3.0 yang terbaru menunjukkan preferensi terhadap Microsoft Teams untuk akses awal.
Peretas yang menyamar menjadi meja bantuan TI yang sah memulai panggilan Microsoft Teams, lalu meyakinkan target untuk meluncurkan alat dukungan jarak jauh bawaan Windows, Quick Assist.
Hal tersebut membantu peretas memperoleh akses jarak jauh interaktif dan menindaklanjutinya dengan menginstruksikan pengguna menjalankan skrip PowerShell.
Skrip tersebut nantinya mengunduh dan mengekstrak arsip ZIP dengan tiga file yang digunakan untuk meluncurkan launcher Matanbuchus pada perangkat melalui pemuatan samping DLL.
Malware tersebut saat ini ditawarkan seharga US$10.000 atau sekitar Rp163 juta untuk varian HTTP, dan US$15.000 atau sekitar Rp244,5 juta (Kurs: Rp16.000).
Cybersecuritynews.com melaporkan, penyadapan terjadi sebelum malware dirilis ke publik, yang menunjukkan penyerang mendistribusikan pemuat HTTP dalam lingkaran terpercaya atau memanfaatkannya dalam operasi mereka sendiri.
Metode serangan semacam itu menunjukkan pergeseran yang mengkhawatirkan ke arah pemanfaatan platform komunikasi bisnis yang sah untuk tujuan jahat.
Cara Kerja Matanbuchus 3.0
Matanbuchus 3.0 memperkenalkan beberapa fitur serta penyempurnaan baru. Developer-nya mengganti komunikasi perintah-dan-kontrol (C2) dan pengaburan string dari RC4 ke Salsa20
Pemuatannya diluncurkan dalam memori, bersamaan dengannya, ada juga rutinitas verifikasi anti-sandbox baru untuk memastikan malware hanya berjalan pada locale yang ditentukan.
Panggilan Application Programming Interface (API) lebih dikaburkan dengan menggunakan fungsi hash non-kriptografi ‘MurmurHash3’, yang membuat rekayasa balik dan analisis statis lebih sulit.
Untuk dampak pasca-infeksi, Matanbuchus 3.0 dapat mengeksekusi perintah CMD, PowerShell, atau juga muatan EXE, DLL, MSI, dan juga Shellcode.
Setelahnya, malware ini akan mengumpulkan rincian penting, seperti nama pengguna, domain, informasi versi OS, proses EDR/AV yang sedang berjalan, dan status peningkatan prosesnya (Admin atau pengguna biasa).
Malware tersebut memeriksa proses yang sedang berjalan pada perangkat korban, untuk mengidentifikasi alat keamanan pada sistem, lalu mencatat bahwa metode eksekusi yang dikirim kembali dari C2 mungkin ‘bergantung pada tumpukan keamanan korban saat ini’.
Para peneliti mengatakan, Matanbuchus sudah berkembang menjadi ancaman yang canggih. Untuk itu, mereka menyediakan indikator kompromi yang mencakup sampel malware dan domain yang digunakan oleh ransomware itu. (Muhamad Rafi Firmansyah Harun)
