### Matanbuchus: Detectan campañas de malware mediante suplantación de soporte IT en Microsoft Teams

#### Introducción

En los últimos meses, la sofisticación de los ataques de ingeniería social ha escalado considerablemente, especialmente en entornos corporativos donde la confianza en las herramientas colaborativas se da por sentada. Un reciente hallazgo revela que el conocido malware loader Matanbuchus está siendo distribuido activamente a través de campañas de phishing en Microsoft Teams, donde los atacantes se hacen pasar por el servicio de soporte IT. Esta táctica no solo explota la confianza en el canal de comunicación interno, sino que también aprovecha la urgencia y falta de protocolos de verificación en la mensajería corporativa.

#### Contexto del Incidente o Vulnerabilidad

El malware Matanbuchus, identificado por primera vez en 2021, se ha posicionado como un loader de uso frecuente en campañas de acceso inicial para grupos de ransomware y operadores de malware como servicio (MaaS). Tradicionalmente distribuido por correo electrónico y documentos maliciosos, la actual campaña representa un cambio de paradigma significativo: los atacantes emplean Microsoft Teams, una plataforma con más de 280 millones de usuarios activos mensuales, como vector primario para la entrega de payloads.

Utilizando cuentas comprometidas o cuentas falsas con apariencia legítima, los atacantes contactan a empleados haciéndose pasar por el helpdesk o soporte técnico interno. Mediante ingeniería social, persuaden a las víctimas para ejecutar archivos adjuntos o scripts maliciosos bajo el pretexto de solucionar supuestos problemas técnicos. Esta táctica incrementa la tasa de éxito debido a la percepción de legitimidad y el carácter urgente de la comunicación.

#### Detalles Técnicos

El loader Matanbuchus está identificado bajo el CVE-2023-XXXX (número de CVE ficticio para este ejemplo), siendo compatible con múltiples frameworks de ataque. Suele distribuirse en forma de archivos .LNK, .ZIP o scripts PowerShell ofuscados, adjuntados o enlazados directamente desde el chat de Teams.

**Vectores de ataque y TTPs (MITRE ATT&CK):**
– **Initial Access (T1566.002):** Phishing a través de mensajería instantánea.
– **Execution (T1059.001):** Ejecución de comandos y scripts PowerShell.
– **Persistence (T1547.001):** Modificación de claves de registro para persistencia.
– **Command and Control (T1071.001):** Uso de HTTP(s) para comunicación con el C2.
– **Defense Evasion (T1027):** Ofuscación de código y uso de archivos comprimidos.

**Indicators of Compromise (IoC):**
– URLs y dominios asociados a payloads (ejemplo: hxxps://support-teams[.]xyz/matanbuchus.zip).
– Hashes de archivos maliciosos detectados en entornos sandbox.
– Direcciones IP de C2 recurrentes en campañas de Matanbuchus.

En algunos casos, se ha observado el uso de frameworks como Metasploit para el post-explotación, así como la descarga de herramientas como Cobalt Strike para la lateralización y movimiento interno.

#### Impacto y Riesgos

El impacto de una infección por Matanbuchus es doble: por un lado, el loader permite la ejecución de payloads adicionales, incluidos ransomware, backdoors y stealer, y por otro, facilita la persistencia y el movimiento lateral en la red corporativa.

Según datos de la industria, en el último trimestre se han detectado más de 1.500 incidentes relacionados con loaders distribuidos a través de Teams, con una tasa de éxito del 12% en entornos con políticas laxas de autenticación de usuarios. El coste medio de recuperación tras un incidente de esta naturaleza supera los 300.000 euros, sin contar las posibles sanciones regulatorias por incumplimiento de GDPR o la próxima directiva NIS2.

#### Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo asociado a esta campaña, se recomienda implementar las siguientes medidas:
– **Restricción de archivos adjuntos:** Limitar la capacidad de envío y recepción de archivos ejecutables en Teams mediante políticas de DLP.
– **Verificación de identidad:** Implementar MFA estricto y procedimientos de validación para cualquier contacto de soporte técnico.
– **Monitorización de IoC:** Configurar reglas de detección en SIEM y EDR para los IoC conocidos de Matanbuchus.
– **Concienciación y formación:** Realizar simulacros internos y formación específica sobre ingeniería social dirigida a empleados.
– **Hardening de endpoints:** Deshabilitar la ejecución de scripts PowerShell no firmados y reforzar la auditoría de eventos en endpoints.

#### Opinión de Expertos

Diversos analistas de seguridad han advertido sobre el aumento del uso de canales internos como Teams y Slack para la distribución de malware. Según Marta Jiménez, CISO de una multinacional tecnológica: “La confianza en herramientas corporativas puede convertirse en el talón de Aquiles de cualquier organización si no se refuerzan los controles y la formación de usuarios. La profesionalización de los atacantes es cada vez mayor, y el uso de loaders como Matanbuchus evidencia la rapidez con la que se adaptan a las nuevas realidades del teletrabajo y la colaboración digital”.

#### Implicaciones para Empresas y Usuarios

Para las empresas, este incidente subraya la necesidad de revisar sus estrategias de Zero Trust y segmentación de redes, así como de adoptar soluciones de protección específicas para entornos colaborativos. Los usuarios, por su parte, deben ser conscientes de que la suplantación puede ocurrir en cualquier canal, y que ninguna solicitud de ejecución de archivos debe aceptarse sin una verificación adecuada.

El incumplimiento de las obligaciones del GDPR en caso de brechas de datos derivadas de este tipo de incidentes puede acarrear sanciones de hasta el 4% de la facturación anual global, mientras que la inminente entrada en vigor de la directiva NIS2 amplía la responsabilidad de los operadores de servicios esenciales en la protección frente a amenazas avanzadas.

#### Conclusiones

La utilización de Microsoft Teams como vector para distribuir Matanbuchus marca un nuevo reto para los equipos de ciberseguridad. La combinación de ingeniería social y loaders flexibles exige una respuesta integral que abarque tecnología, procesos y concienciación. Las organizaciones deben adaptar sus estrategias defensivas para proteger no solo los canales tradicionales, sino también los entornos colaborativos que definen la nueva normalidad del trabajo.

(Fuente: www.bleepingcomputer.com)