Dentro la bufera: come gli hacker hanno trasformato Microsoft Teams in una macchina per la consegna di malware

È iniziato con una raffica di email - così tante da sembrare quasi accidentali. Ma per i dipendenti che le hanno ricevute, il vero pericolo doveva ancora arrivare. Camuffandosi da solerti addetti IT su Microsoft Teams, un elusivo gruppo di cybercriminali chiamato UNC6692 stava per scatenare un attacco sofisticato che avrebbe lasciato al gelo perfino i team di sicurezza più esperti.

L’anatomia di questo attacco è al tempo stesso intricata e agghiacciante. Secondo i ricercatori di Mandiant, UNC6692 inizia “bombardando di email” i bersagli, sommergendoli di spam per creare un senso di urgenza. Poi, fingendosi operatori dell’helpdesk IT tramite Microsoft Teams, gli attaccanti contattano direttamente le vittime, offrendo una presunta “patch” per bloccare lo spam. La patch, in realtà, è un dropper: un programma malevolo che esegue silenziosamente script AutoHotkey per installare “SnowBelt”, un’estensione di Chrome progettata per operare in modo occulto.

Le vittime non vedono mai l’estensione in esecuzione, perché opera all’interno di un browser Microsoft Edge headless. Nel frattempo, gli attaccanti impostano attività pianificate e collegamenti di avvio per garantire la persistenza. Ma SnowBelt è solo l’inizio. Agisce da relay di comandi, inoltrando le istruzioni degli attaccanti a un altro strumento: SnowBasin, una backdoor basata su Python capace di eseguire comandi di shell, rubare file, catturare screenshot e altro ancora.

Le comunicazioni tra la macchina compromessa e i server di comando e controllo degli attaccanti sono occultate da SnowGlaze, un tunneler che usa connessioni WebSocket e può fare da proxy a traffico di rete arbitrario. Questo rende difficile per i difensori individuare i segnali rivelatori dell’intrusione.

Una volta dentro, gli attaccanti si muovono rapidamente. Scansionano alla ricerca di servizi vulnerabili, estraggono credenziali dalla memoria e usano tecniche avanzate come il pass-the-hash per saltare da un sistema all’altro. L’obiettivo finale? Il pieno controllo dei gioielli della corona della rete: i domain controller e i database di Active Directory. Usando strumenti forensi legittimi come FTK Imager, esfiltrano hive di registro critici e dati di credenziali, uscendo poi tramite LimeWire - lasciandosi alle spalle una scia di segreti compromessi.

Il toolkit “Snow” è modulare, persistente e furtivo - rappresenta il nuovo volto degli attacchi di ingegneria sociale sul posto di lavoro. Sia Microsoft sia Mandiant avvertono che questa combinazione di ingegnosità tecnica e manipolazione psicologica sta diventando una tendenza, mentre i criminali sfruttano proprio gli strumenti pensati per favorire produttività e fiducia.

Man mano che le organizzazioni si affidano sempre di più a piattaforme collaborative come Microsoft Teams, il confine tra supporto utile e inganno dannoso si fa più sottile. Gli attacchi “Snow” sono un monito netto: nella bufera digitale del lavoro moderno, la vigilanza è l’unico vero riparo.

TECHCROOK

Microsoft Defender for Business è una soluzione di protezione endpoint pensata per PMI e ambienti Microsoft 365, utile per contrastare campagne di ingegneria sociale e catene d’infezione come quelle descritte via Teams. Integra antivirus di nuova generazione, rilevamento e risposta (EDR) con analisi comportamentale, isolamento del dispositivo e contenimento automatico per limitare movimenti laterali e furto credenziali. Offre gestione centralizzata, reportistica e alert correlati, oltre a controlli su applicazioni e riduzione della superficie d’attacco per bloccare script e persistenza. In scenari con estensioni malevole e backdoor, aiuta a individuare processi anomali, attività pianificate sospette e comunicazioni verso C2. Il prodotto è disponibile su diversi canali e si può acquistare anche su Amazon.

WIKICROOK

• Dropper: Un dropper è un tipo di malware che installa di nascosto ulteriori programmi malevoli su un dispositivo infetto, aiutando gli attaccanti ad aggirare le misure di sicurezza.
• Persistenza: La persistenza comprende tecniche usate dal malware per sopravvivere ai riavvii e restare nascosto sui sistemi, spesso imitando processi o aggiornamenti legittimi.
• WebSocket: WebSocket è un protocollo che mantiene un canale aperto tra il browser e un server, consentendo uno scambio di messaggi bidirezionale in tempo reale.
• Pass: Pass-the-Hash è un attacco informatico in cui gli attaccanti usano hash di password rubati per accedere ai sistemi, aggirando la necessità della password effettiva.
• Active Directory: Active Directory è il sistema Microsoft per gestire utenti, dispositivi e permessi nelle reti aziendali, centralizzando accesso e controlli di sicurezza.