Difese aziendali violate: un falso help desk su Teams scatena un blitz di malware furtivo

È iniziato con un’ondata di email - centinaia, forse migliaia - che ha sommerso le caselle di posta delle grandi aziende. Ma il vero pericolo si è presentato travestito da mano tesa. Nel caos, su Microsoft Teams è comparso un cordiale messaggio di “supporto IT”, che si offriva di risolvere il problema dello spam. Quello che i dipendenti ignari non hanno capito: l’aiutante era un hacker e la soluzione era una trappola.

La campagna, scoperta dai ricercatori di Mandiant, rivela una strategia di cybercrime in evoluzione che fonde la classica ingegneria sociale con una distribuzione avanzata di malware. L’operazione, attribuita al gruppo di recente identificazione UNC6692, inizia bombardando un bersaglio aziendale con spam via email, creando confusione e urgenza. Subito dopo, arriva un messaggio Teams convincente - apparentemente dal supporto IT - che offre aiuto per l’improvviso caos nella posta in arrivo.

Le vittime vengono sollecitate a installare una “patch” per fermare lo spam. Il link conduce a un sito web dall’aspetto curato che si presenta come una “Mailbox Repair Utility”. Ma ciò che viene scaricato non è una correzione: è uno script che installa nel sistema della vittima una pericolosa estensione del browser chiamata SnowBelt.

SnowBelt funziona come una backdoor occulta, consentendo agli hacker di mantenere un accesso persistente agli account e di muoversi lateralmente all’interno della rete. Una volta dentro, gli attaccanti possono distribuire ulteriori payload malevoli, inclusi strumenti specializzati chiamati SnowGlaze e SnowBasin, oltre a script di automazione e un ambiente Python portatile per eseguire codice ancora più nefasto.

Gli attaccanti si sono spinti molto lontano per rendere credibile l’inganno. Il loro sito di phishing rileva se un utente non sta usando Microsoft Edge e lo spinge in modo aggressivo a cambiare browser, assicurandosi che lo sfruttamento funzioni come previsto. Durante la finta procedura di accesso, il sito rifiuta deliberatamente i primi due tentativi di password, incoraggiando gli utenti a ridigitare le credenziali. Questo non solo rende lo scenario più autentico, ma aumenta anche la probabilità di catturare dati di accesso corretti.

Gli esperti avvertono che la combinazione di sofisticazione tecnica e manipolazione psicologica rende questa campagna particolarmente pericolosa. Sfruttando la fiducia riposta in Microsoft Teams - un pilastro della comunicazione sul lavoro - UNC6692 riesce ad aggirare le tradizionali misure di sicurezza basate sulle email e a interagire direttamente con i bersagli in un ambiente familiare.

Mentre le aziende puntano sempre di più sugli strumenti di collaborazione digitale, gli attaccanti diventano più audaci e inventivi. L’attacco del falso help desk su Teams è un promemoria netto: nel mondo del cybercrime, la minaccia più grande può arrivare da un volto amichevole che offre aiuto. Vigilanza, formazione degli utenti e sicurezza a più livelli restano la migliore difesa contro questi schemi in continua evoluzione.

TECHCROOK

YubiKey 5 NFC è una chiave di sicurezza hardware pensata per ridurre drasticamente il rischio di furto credenziali in scenari di phishing evoluto, come i falsi help desk su Microsoft Teams. Supporta autenticazione a più fattori e passwordless con FIDO2/WebAuthn e U2F, oltre a funzioni smart card (PIV) e OTP per integrazioni aziendali. L’uso di un secondo fattore “fisico” rende molto più difficile per un attaccante riutilizzare password intercettate o indurre l’utente a confermare accessi fraudolenti su pagine di login contraffatte. È compatibile con PC e dispositivi mobili dotati di NFC e si integra con i principali servizi di identità e SSO. Il prodotto è disponibile su diversi canali e si può acquistare anche su Amazon.

WIKICROOK

• Phishing: Il phishing è un crimine informatico in cui gli attaccanti inviano messaggi falsi per indurre gli utenti a rivelare dati sensibili o a cliccare su link malevoli.
• Malware: Il malware è un software dannoso progettato per infiltrarsi, danneggiare o rubare dati da dispositivi informatici senza il consenso dell’utente.
• Browser Extension: Un’estensione del browser è un piccolo componente aggiuntivo che migliora le funzionalità del browser, ma può anche essere sfruttato dagli hacker per rubare dati o spiare gli utenti.
• Social Engineering: L’ingegneria sociale è l’uso dell’inganno da parte degli hacker per indurre le persone a rivelare informazioni riservate o a fornire accesso non autorizzato ai sistemi.
• Backdoor: Una backdoor è un modo nascosto per accedere a un computer o a un server, aggirando i normali controlli di sicurezza, spesso usato dagli attaccanti per ottenere un controllo segreto.