A técnica envolve a simulação de chamadas de suporte técnico no Teams, onde os atacantes convencem funcionários a abrir o Quick Assist para acesso remoto. Através deste canal, executam scripts PowerShell que instalam o malware no sistema da vítima.

Originalmente lançado em 2021 como Malware-as-a-Service (MaaS) por 2.500 dólares, o Matanbuchus tem sido usado para distribuir ameaças como Cobalt Strike, QakBot e DanaBot, frequentemente ligadas a campanhas de ransomware. A versão 3.0 traz capacidades avançadas, incluindo execução na memória, técnicas de ofuscação melhoradas, suporte a shell reversas, e a execução de DLLs, EXEs e código shell. Atualmente, é vendido por valores que vão de 10.000 a 15.000 dólares por mês, consoante o tipo de comunicação com os servidores de controlo (HTTPS ou DNS).

Após ser instalado, o malware recolhe informações do sistema, verifica privilégios e processos em execução, e estabelece persistência através de tarefas agendadas manipuladas via COM. A ameaça reflete uma tendência crescente de malware stealth, que explora ferramentas legítimas do sistema (LOLBins), hijacking de objetos COM e integração com plataformas corporativas como Teams e Zoom, contornando assim defesas tradicionais.

Os especialistas alertam para a necessidade urgente de novas estratégias de proteção, que respondam ao uso criativo e malicioso de ferramentas empresariais legítimas para alargar a superfície de ataque e comprometer redes corporativas.