Programari maliciós SNOW
S'ha identificat un clúster d'amenaces no documentat prèviament, rastrejat com a UNC6692, que aprofita tècniques avançades d'enginyeria social a través de Microsoft Teams per implementar un marc de programari maliciós personalitzat conegut com a SNOW Malware. Els atacants suplanten constantment el personal del servei d'assistència informàtica, persuadint els objectius perquè acceptin invitacions de xat originades per comptes externs.
Aquest engany es veu reforçat per una campanya coordinada de bombardeig de correus electrònics, on les víctimes són inundades amb missatges de correu brossa per crear urgència i confusió. Poc després, l'atacant inicia el contacte a través de Teams, fent-se passar per suport informàtic i oferint assistència per resoldre el problema fabricat. Aquesta tàctica de manipulació de doble capa augmenta significativament la probabilitat que l'usuari compleixi la normativa.
Taula de continguts
Tàctiques heretades, impacte modern
El patró operatiu reflecteix les tècniques històricament associades amb els afiliats de Black Basta. Malgrat que el grup ha cessat les operacions de ransomware, els seus mètodes persisteixen i continuen sent eficaços. Els investigadors de seguretat han confirmat que aquest enfocament s'adreça principalment a executius i personal sènior, permetent l'accés inicial a la xarxa que pot conduir a l'exfiltració de dades, el moviment lateral, el desplegament de ransomware i l'extorsió. En els casos observats, els xats iniciats per atacants es van produir en qüestió de segons, cosa que subratlla l'automatització i la coordinació.
Punt d’entrada enganyós: la solució falsa
A diferència dels atacs tradicionals que es basen únicament en eines de gestió remota com ara Quick Assist o Supremo Remote Desktop, aquesta campanya introdueix una cadena d'infecció modificada. Es dirigeix les víctimes a fer clic en un enllaç de phishing compartit a través de Teams, presentat com una "Utilitat de reparació i sincronització de bústies de correu v2.1.5".
L'enllaç activa la descàrrega d'un script AutoHotkey maliciós allotjat en un servei d'emmagatzematge al núvol controlat per un atacant. Un mecanisme de control de porta garanteix el lliurament de la càrrega útil només als objectius previstos, cosa que ajuda a evadir l'anàlisi de seguretat automatitzada. A més, el script verifica l'ús del navegador i imposa l'ús de Microsoft Edge mitjançant avisos persistents, garantint la compatibilitat amb components maliciosos posteriors.
SNOWBELT: La porta del darrere silenciosa del navegador
L'script inicial realitza un reconeixement abans de desplegar SNOWBELT, una extensió de navegador maliciosa basada en Chromium. Instal·lat mitjançant un procés Edge sense capçalera que utilitza paràmetres específics de línia d'ordres, SNOWBELT funciona com una porta del darrere encoberta. Facilita la descàrrega de càrregues addicionals, com ara SNOWGLAZE, SNOWBASIN, altres scripts AutoHotkey i un arxiu comprimit que conté un entorn Python portàtil.
Simultàniament, la interfície de phishing presenta un "Panell de gestió de configuració" amb una funció de "Comprovació d'estat". Aquesta interfície demana als usuaris que introdueixin les credencials de la bústia de correu sota l'aparença d'autenticació, però en comptes d'això captura i exfiltra dades sensibles a la infraestructura controlada per l'atacant.
Ecosistema modular de programari maliciós: anàlisi del marc de treball SNOW
El conjunt de programari maliciós SNOW funciona com un ecosistema modular i coordinat dissenyat per a la persistència, el control i la furtivitat:
- SNOWBELT actua com un relé de comandes basat en JavaScript, rebent instruccions de l'atacant i reenviant-les per a la seva execució.
- SNOWGLAZE funciona com una utilitat de túnel basada en Python, establint una connexió WebSocket segura entre la xarxa compromesa i el servidor de comandament i control de l'atacant.
- SNOWBASIN serveix com a porta del darrere persistent, permetent l'execució remota d'ordres, transferències de fitxers, captura de captures de pantalla i autoeliminació, mentre opera com a servidor HTTP local en múltiples ports.
Postexplotació: Ampliació del control i extracció de dades
Després del compromís inicial, l'actor d'amenaces executa una sèrie d'accions per aprofundir l'accés i extreure informació valuosa:
El reconeixement de la xarxa es duu a terme escanejant els ports crítics, seguit d'un moviment lateral mitjançant eines administratives i sessions d'escriptori remot connectades a través de sistemes compromesos.
L'escalada de privilegis s'aconsegueix extraient memòria de processos sensible, permetent la recol·lecció de credencials i l'accés no autoritzat a sistemes de nivell superior.
Tècniques avançades com ara Pass-the-Hash s'utilitzen per comprometre els controladors de domini, després de les quals es despleguen eines forenses per recopilar dades sensibles, incloses les bases de dades de directoris, que després s'exfiltren mitjançant utilitats de transferència de fitxers.
Camuflatge al núvol: barreja de trànsit maliciós amb serveis legítims
Una característica definidora d'aquesta campanya és l'abús estratègic de la infraestructura de núvol de confiança. Les càrregues útils malicioses, l'exfiltració de dades i les comunicacions de comandament i control es dirigeixen a través de plataformes de núvol legítimes. Aquest enfocament permet que l'activitat d'amenaces es combini perfectament amb el trànsit empresarial normal, evitant eficaçment els filtres de seguretat tradicionals basats en la reputació o la detecció d'anomalies.
Panorama d’amenaces en evolució: la confiança com a objectiu principal
La campanya UNC6692 destaca una evolució significativa en les estratègies de ciberatac, combinant enginyeria social, eines empresarials de confiança i programari maliciós modular. En explotar la confiança dels usuaris en plataformes i serveis àmpliament utilitzats, els atacants augmenten les taxes d'èxit alhora que minimitzen la detecció. La persistència de tàctiques heretades juntament amb mecanismes de lliurament innovadors subratlla una realitat crítica: les estratègies d'atac efectives poden perdurar molt després que els seus operadors originals desapareguin.
