Attenzione a Snow: un nuovo malware si diffonde attraverso Microsoft Teams

Un nuovo pericolo per la sicurezza informatica emerge nel panorama digitale: un gruppo di cybercriminali noto come UNC6692 ha sviluppato una famiglia di malware chiamata Snow, che sfrutta Microsoft Teams come veicolo per la diffusione. I ricercatori di Mandiant, una filiale di Google, hanno identificato questa minaccia, evidenziando come gli attaccanti utilizzino ingegneria sociale per ingannare le vittime. Il raggiro, in particolare, simula un falso supporto tecnico, un modus operandi già segnalato da Microsoft in precedenti avvertimenti.

Come avviene l’infezione

Il processo di attacco inizia con l’invio di un messaggio di phishing tramite Teams, in cui il presunto supporto tecnico incoraggia i dipendenti a cliccare su un link per installare una “patch urgente”. Questo link non porta a una vera soluzione, bensì a uno script AutoHotkey che scarica e installa un’estensione per il browser, denominata SNOWBELT, progettata principalmente per Microsoft Edge e altri browser basati su Chromium.

Una volta attivata, l’estensione agisce come una backdoor JavaScript, permettendo ai criminali informatici di mantenere l’accesso ai sistemi delle vittime. SNOWBELT riesce a garantire la persistenza della minaccia, aggiungendo un link allo script nella directory di esecuzione automatica e creando un’attività pianificata. Da questo punto, i criminali possono installare ulteriori componenti malevoli: SNOWGLAZE e SNOWBASIN.

Funzionamento dei malware Snow

Una delle naftalene malware, SNOWBASIN, è una backdoor sviluppata in Python che funge da server HTTP locale. Questa backdoor esegue comandi remote, rubando dati, catturando screenshot e accedendo a files sensibili. Grazie a questi strumenti, i malintenzionati sono in grado di trarre informazioni sensibili dalle macchine compromesse.

Dall’altro lato, SNOWGLAZE si configura come un tunneler di rete, creando un tunnel WebSocket che connette la rete della vittima all’infrastruttura C2 (command and control) dei criminali. Questo consente di mascherare il traffico TCP con l’ausilio di un proxy SOCKS, rendendo difficile l’individuazione della comunicazione malevola.

In un attacco tipico, i criminali informatici possono accedere alla memoria LSASS per estrarre informazioni sugli accessi e utilizzare strumenti come FTK Imager per recuperare il database di Active Directory e le chiavi di registro del sistema. Tali informazioni vengono poi esfiltrate attraverso LimeWire, un metodo che sottolinea la creatività dei cybercriminali nella scelta delle tecniche di evasione.

Come proteggersi

Le aziende, e in particolare quelle italiane che utilizzano Microsoft Teams per le comunicazioni interne, devono reagire prontamente a questa nuova minaccia. È fondamentale implementare strategie di sicurezza informatica efficaci, educando i dipendenti a riconoscere i segnali di phishing e a non cliccare su link sospetti. Inoltre, è cruciale mantenere aggiornati i software di sicurezza e monitorare continuamente l’attività di rete.

Mandiant ha fornito utili suggerimenti per aiutare le organizzazioni a rilevare questa minaccia e a proteggere i propri sistemi. Adottare pratiche di sicurezza più rigorose può fare la differenza nel prevenire gli attacchi e mantenere i dati aziendali al sicuro.

Conclusione

L’emergere del malware Snow rappresenta un’altra sfida per la sicurezza informatica in un mondo sempre più digitale. Con sempre più aziende che utilizzano piattaforme come Microsoft Teams per la comunicazione interna, la consapevolezza delle vulnerabilità e delle minacce informatiche deve essere una priorità. Mantenere una vigilanza attiva e adottare misure preventive adeguate è essenziale per proteggere le informazioni sensibili da tentativi di compromissione.