Malware SNOW
Um cluster de ameaças previamente não documentado, rastreado como UNC6692, foi identificado utilizando técnicas avançadas de engenharia social por meio do Microsoft Teams para implantar uma estrutura de malware personalizada conhecida como SNOW Malware. Os atacantes se fazem passar por funcionários do suporte de TI, persuadindo as vítimas a aceitarem convites de bate-papo originados de contas externas.
Essa farsa é reforçada por uma campanha coordenada de bombardeio de e-mails, na qual as vítimas são inundadas com mensagens de spam para criar urgência e confusão. Logo em seguida, o atacante inicia o contato via Teams, fingindo ser do suporte de TI e oferecendo assistência para resolver o problema inventado. Essa tática de manipulação em duas camadas aumenta significativamente a probabilidade de o usuário cooperar.
Índice
Táticas Tradicionais, Impacto Moderno
O padrão operacional espelha técnicas historicamente associadas a grupos afiliados ao Black Basta. Apesar do grupo ter cessado as operações de ransomware, seus métodos persistem e continuam eficazes. Pesquisadores de segurança confirmaram que essa abordagem visa principalmente executivos e funcionários de alto escalão, permitindo o acesso inicial à rede que pode levar à exfiltração de dados, movimentação lateral, implantação de ransomware e extorsão. Nos casos observados, as conversas iniciadas pelos atacantes ocorreram em questão de segundos, evidenciando automação e coordenação.
Ponto de Entrada Enganoso: A Solução Falsa
Ao contrário dos ataques tradicionais que dependem exclusivamente de ferramentas de gerenciamento remoto, como Quick Assist ou Supremo Remote Desktop, esta campanha introduz uma cadeia de infecção modificada. As vítimas são direcionadas a clicar em um link de phishing compartilhado via Teams, apresentado como um "Utilitário de Reparo e Sincronização de Caixa de Correio v2.1.5".
O link aciona o download de um script AutoHotkey malicioso hospedado em um serviço de armazenamento em nuvem controlado pelo atacante. Um mecanismo de controle garante que o conteúdo seja entregue apenas aos alvos pretendidos, ajudando a burlar análises de segurança automatizadas. Além disso, o script verifica o navegador utilizado e impõe o uso do Microsoft Edge por meio de avisos persistentes, garantindo a compatibilidade com componentes maliciosos subsequentes.
SNOWBELT: A porta dos fundos silenciosa do navegador
O script inicial realiza um reconhecimento antes de implantar o SNOWBELT, uma extensão maliciosa para navegadores baseada no Chromium. Instalado por meio de um processo Edge sem interface gráfica, utilizando parâmetros específicos da linha de comando, o SNOWBELT funciona como uma porta dos fundos oculta. Ele facilita o download de cargas adicionais, incluindo SNOWGLAZE, SNOWBASIN, outros scripts AutoHotkey e um arquivo compactado contendo um ambiente Python portátil.
Simultaneamente, a interface de phishing apresenta um "Painel de Gerenciamento de Configuração" com um recurso de "Verificação de Integridade". Essa interface solicita que os usuários insiram as credenciais da caixa de correio sob o pretexto de autenticação, mas, na verdade, captura e exfiltra dados confidenciais para a infraestrutura controlada pelo invasor.
Ecossistema Modular de Malware: Análise da Estrutura SNOW
O pacote de malware SNOW opera como um ecossistema modular e coordenado, projetado para persistência, controle e furtividade:
- O SNOWBELT funciona como um retransmissor de comandos baseado em JavaScript, recebendo instruções do atacante e encaminhando-as para execução.
- O SNOWGLAZE funciona como um utilitário de tunelamento baseado em Python, estabelecendo uma conexão WebSocket segura entre a rede comprometida e o servidor de comando e controle do atacante.
- O SNOWBASIN funciona como uma porta dos fundos persistente, permitindo a execução remota de comandos, transferência de arquivos, captura de tela e autoexclusão, enquanto opera como um servidor HTTP local em múltiplas portas.
Pós-exploração: expandindo o controle e extraindo dados
Após a invasão inicial, o agente da ameaça executa uma série de ações para aprofundar o acesso e extrair informações valiosas:
O reconhecimento de rede é realizado através da varredura de portas críticas, seguida de movimentação lateral utilizando ferramentas administrativas e sessões de área de trabalho remota estabelecidas por meio de túneis em sistemas comprometidos.
A escalada de privilégios é alcançada através da extração de memória de processos sensíveis, permitindo a coleta de credenciais e o acesso não autorizado a sistemas de nível superior.
Técnicas avançadas como Pass-the-Hash são usadas para comprometer controladores de domínio, após o que ferramentas forenses são implantadas para coletar dados confidenciais, incluindo bancos de dados de diretórios, que são então exfiltrados usando utilitários de transferência de arquivos.
Camuflagem na Nuvem: Misturando Tráfego Malicioso com Serviços Legítimos
Uma característica definidora desta campanha é o abuso estratégico da infraestrutura de nuvem confiável. Cargas maliciosas, exfiltração de dados e comunicações de comando e controle são roteadas por meio de plataformas de nuvem legítimas. Essa abordagem permite que a atividade de ameaças se misture perfeitamente ao tráfego normal da empresa, contornando efetivamente os filtros de segurança tradicionais baseados em reputação ou detecção de anomalias.
Cenário de ameaças em evolução: a confiança como alvo principal
A campanha UNC6692 destaca uma evolução significativa nas estratégias de ciberataque, combinando engenharia social, ferramentas empresariais confiáveis e malware modular. Ao explorar a confiança do usuário em plataformas e serviços amplamente utilizados, os atacantes aumentam as taxas de sucesso e minimizam a detecção. A persistência de táticas antigas, juntamente com mecanismos de distribuição inovadores, ressalta uma realidade crítica: estratégias de ataque eficazes podem perdurar muito tempo depois que seus autores originais desaparecerem.
