Snow è il nome dato a una famiglia di malware scoperti di recente che sfruttano Microsoft Teams come veicolo di infezione, prendendo di mira soprattutto ambienti aziendali. A individuarli sono stati i ricercatori di Mandiant, sussidiaria di Google, che hanno attribuito la campagna al gruppo identificato come UNC6692. La tecnica è subdola ma efficace: si fa leva sull’ingegneria sociale, spacciandosi per un falso supporto tecnico, e si convince la vittima a compiere azioni apparentemente innocue.
Come funziona l’attacco tramite Teams
Il meccanismo è più semplice di quanto si possa pensare. Tutto parte da un messaggio di phishing inviato attraverso Teams, in cui qualcuno che finge di appartenere al supporto tecnico aziendale invita il dipendente a cliccare su un link per installare una presunta patch urgente. Fin qui nulla di nuovo, in un certo senso: è un classico schema di ingegneria sociale. Ma quello che succede dopo è parecchio articolato.
Cliccando sul link, la vittima non scarica affatto un aggiornamento di sicurezza. Si ritrova invece a eseguire uno script AutoHotkey che installa un’estensione per Microsoft Edge o per qualsiasi altro browser basato su Chromium. Questa estensione si chiama SNOWBELT ed è, a tutti gli effetti, una backdoor JavaScript. Il bello, si fa per dire, è che SNOWBELT garantisce la persistenza nel sistema in modo furbo: aggiunge un collegamento allo script nella directory di esecuzione automatica e crea un’attività pianificata. Così, anche dopo un riavvio, il malware resta attivo.
La suite Snow: SNOWGLAZE e SNOWBASIN
Una volta che SNOWBELT ha messo radici nel sistema, la porta è aperta per gli altri due componenti della suite Snow: SNOWGLAZE e SNOWBASIN. Il primo è un cosiddetto network tunneler scritto in Python. In parole povere, crea un tunnel WebSocket tra la rete locale della vittima e l’infrastruttura di comando e controllo (C2) gestita dai cybercriminali. Lo scopo è mascherare il traffico TCP attraverso un proxy SOCKS, rendendo molto più complicato per i sistemi di sicurezza aziendali accorgersi di quello che sta succedendo.
SNOWBASIN, invece, è una backdoor Python che funziona come server HTTP locale. Può eseguire comandi ricevuti dal server remoto, rubare dati, catturare screenshot e accedere ai file presenti sulla macchina compromessa. SNOWBELT fa da collante: monitora le attività dell’utente e inoltra a SNOWBASIN i comandi provenienti dall’infrastruttura C2. Il risultato è un ecosistema di malware coordinato e piuttosto sofisticato.
Esfiltrazione dei dati e tecniche avanzate
Ma la catena di attacco non si ferma alla raccolta di informazioni dal singolo dispositivo. Durante le operazioni, il gruppo UNC6692 effettua il dump della memoria LSASS, ovvero il processo di Windows che gestisce le credenziali. In più, viene utilizzato il tool FTK Imager per estrarre il database di Active Directory, insieme alle chiavi di registro SYSTEM, SAM e SECURITY. Si tratta di materiale che, nelle mani sbagliate, consente di ottenere accesso praticamente totale all’infrastruttura aziendale.
Tutti questi file vengono poi esfiltrati tramite LimeWire. Mandiant ha pubblicato anche una serie di indicazioni utili per rilevare la presenza di Snow nei propri sistemi e per mettere in atto contromisure difensive adeguate contro questa specifica minaccia che, visto il canale di distribuzione attraverso Microsoft Teams, potrebbe colpire un numero molto elevato di organizzazioni.
