# Matanbuchus Teams 2025 > [!high] Matanbuchus 3.0 - Engenharia Social via Microsoft Teams e Abuso de Quick Assist > Em meados de 2025, o loader MaaS [[matanbuchus]] evoluiu para sua versão 3.0 com uma campanha documentada pela Morphisec que explora ligações de voz via Microsoft Teams e o Quick Assist nativo do Windows para obter acesso remoto a sistemas corporativos. A cadeia de infecção combina engenharia social sofisticada com DLL sideloading via processo legítimo do Notepad++ (GUP.exe) e comúnicações C2 criptografadas com Salsa20. A operação exemplifica a tendência de grupos MaaS usando plataformas de colaboração corporativa como vetor de ataque inicial. ## Visão Geral O [[matanbuchus]] é um loader MaaS (Malware-as-a-Service) ativo desde 2021, licenciado em fóruns underground por valores de USD 10.000 a 15.000 por mês. Em julho de 2025, a Morphisec públicou análise de uma campanha ativa que representa a terceira geração do loader, caracterizada por mudanças significativas na cadeia de infecção e mecanismos de evasão. A inovação central do Matanbuchus 3.0 é a adoção do Microsoft Teams como vetor de engenharia social, combinado com o abuso do Quick Assist - ferramenta de suporte remoto nativa do Windows. O fluxo de ataque começa com ligações telefônicas VoIP que se apresentam como suporte técnico interno ou de terceiros, convencendo a vítima a instalar o Quick Assist e conceder acesso remoto. Uma vez com acesso, o operador entrega o loader Matanbuchus manualmente na máquina da vítima. Esta abordagem - que a Morphisec categoriza como "vishing corporativo via plataformas de colaboração" - foi anteriormente documentada em campanhas de ransomware Black Basta e do grupo Scattered Spider, indicando que métodologias provadas em grupos de alto perfil estão sendo adotadas por operadores MaaS. O componente técnico mais sofisticado é o DLL sideloading via GUP.exe - o utilitário de atualização legítimo do Notepad++ (GNU Updater). Ao colocar uma DLL maliciosa no mesmo diretório que GUP.exe, o Matanbuchus garante que o loader seja executado sob o contexto de um processo legítimo e assinado digitalmente, dificultando a detecção baseada em assinatura. O servidor C2 usa domínio typosquatting (`notepad-plus-plu[.]org`) para se camuflar como infraestrutura relacionada ao Notepad++. ## Attack Flow da Campanha ```mermaid graph TB A["Engenharia Social<br/>Ligação VoIP se apresentando como<br/>suporte técnico - Microsoft Teams<br/>IT helpdesk ou parceiro externo"] --> B["Quick Assist Abuse<br/>Vítima convencida a instalar<br/>ou ativar Quick Assist<br/>Acesso remoto concedido ao operador"] B --> C["Entrega Manual<br/>Operador instala Matanbuchus<br/>diretamente no sistema<br/>via sessão Quick Assist"] C --> D["DLL Sideloading<br/>GUP.exe (Notepad++ Updater)<br/>carrega DLL maliciosa do Matanbuchus<br/>Execução sob processo legítimo assinado"] D --> E["Comúnicação C2<br/>Checkin em notepad-plus-plu[.]org<br/>Protocolo HTTP com Salsa20<br/>Recebe payloads adicionais"] E --> F["Payload Final<br/>DarkGate ou outro malware<br/>entregue como segundo estágio<br/>Persistência e exfiltração"] ``` **Técnicas:** [[t1566-004-spearphishing-voice|T1566.004]] · [[t1219-remote-access-tools|T1219]] · [[t1574-002-dll-side-loading|T1574.002]] · [[t1059-powershell|T1059.001]] ## Evolução do Matanbuchus ```mermaid timeline title Matanbuchus - Evolução do Loader 2021 : v1.0 lançado em fóruns underground : Preço inicial USD 2.500/mês : Técnica inicial via email phishing 2022 : v2.0 - melhorias anti-análise : Adição de técnicas de evasão : Documentado em campanhas com Qakbot 2023 : Campanhas com IcedID e BazarLoader : Precio atualizado USD 10.000/mês 2025 : v3.0 - Microsoft Teams vishing : Quick Assist como vetor : DLL sideloading via GUP.exe : Salsa20 encryption em C2 : USD 10.000 a 15.000/mês ``` ## Componentes Técnicos | Componente | Detalhe | |-----------|---------| | Vetor inicial | Vishing via Microsoft Teams / ligações VoIP | | Acesso remoto | Quick Assist nativo do Windows | | Loader | Matanbuchus 3.0 (DLL maliciosa) | | Sideloading | GUP.exe (GNU Updater do Notepad++) | | C2 | `notepad-plus-plu[.]org` (typosquat de Notepad++) | | Criptografia C2 | Salsa20 stream cipher | | Segundo estágio | [[darkgate]], Black Basta, outros payloads MaaS | | Preço MaaS | USD 10.000 a 15.000 por mês | ## Por que GUP.exe? O abuso do GUP.exe (GNU Updater) como host para DLL sideloading é técnicamente elegante por múltiplos motivos: 1. **Processo legítimo e assinado**: GUP.exe é binário assinado digitalmente pela equipe do Notepad++, reduzindo suspeita em análises de processos 2. **Amplamente instalado**: Notepad++ está presente em milhões de máquinas Windows corporativas 3. **Comportamento de rede esperado**: processo de atualização fazendo conexões externas HTTP é padrão, menos suspeito que processos anônimos 4. **Caminho previsível**: `C:\Program Files\Notepad++\updater\GUP.exe` - atacante conhece o caminho exato para colocar a DLL falsa ## Relevância para o Brasil e LATAM > [!medium] MaaS Acessível - Qualquer Operador Pode Usar Contra Organizações Brasileiras > O modelo MaaS do [[matanbuchus]] significa que qualquer operador com USD 10.000 a 15.000 mensais pode usar esta infraestrutura contra alvos no Brasil. A técnica de vishing via Teams é particularmente perigosa no contexto corporativo brasileiro: empresas com help desks terceirizados e modelos de suporte remoto são altamente vulneráveis a essa engenharia social. O abuso de Quick Assist é especialmente eficaz pois se trata de ferramenta nativa do Windows, sem necessidade de instalação de software suspeito. O DLL sideloading via GUP.exe funciona identicamente em todas as versões modernas do Windows, independente de localidade. ## Detecção e Defesa - Restringir uso do Quick Assist a usuários e departamentos específicos via Group Policy (`HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services`) - Monitorar GUP.exe fazendo conexões de rede para domínios diferentes de `notepad-plus-plu[.]org` e servidores oficiais Notepad++ (comportamento anômalo) - Detectar DLL sideloading: monitorar GUP.exe carregando DLLs não assinadas ou de caminhos incomuns - Treinar funcionários sobre vishing corporativo - nenhum suporte técnico legítimo pedirá acesso Quick Assist via ligação não solicitada - Bloquear domínio `notepad-plus-plu[.]org` como IOC confirmado - Implementar MFA resistente a phishing para acesso a ferramentas de suporte remoto ## Referências - [Morphisec — Matanbuchus 3.0: New Loader Targets Enterprises via Microsoft Teams (Jul 2025)](https://www.morphisec.com/blog/matanbuchus-3-0-microsoft-teams) - [BleepingComputer — Microsoft Teams abused in Matanbuchus malware campaign (Jul 2025)](https://www.bleepingcomputer.com/news/security/microsoft-teams-abused-in-matanbuchus-malware-campaign/) - [[matanbuchus]] - Loader MaaS central desta campanha - [[darkgate]] - Segundo estágio frequentemente entregue pelo Matanbuchus - [[t1219-remote-access-tools|T1219]] - Abuso do Quick Assist para acesso remoto inicial - [[t1574-002-dll-side-loading|T1574.002]] - DLL sideloading via GUP.exe (Notepad++ updater) - [[t1566-004-spearphishing-voice|T1566.004]] - Vishing via Microsoft Teams como vetor