I ricercatori di Mandiant (sussidiaria di Google) hanno rilevato una suite di nuovi malware, denominati Snow, che viene distribuito dal gruppo UNC6692 sfruttando ingegneria sociale, Teams e un’estensione per browser basati su Chromium. Il trucco utilizzato dai cybercriminali per ingannare le vittime è quello del falso supporto tecnico, come recentemente descritto da Microsoft.
Descrizione della catena di infezione
Gli attacchi (principalmente contro aziende) iniziano con l’invio di un messaggio di phishing tramite Teams da un presunto supporto tecnico. Il dipendente viene invitato a cliccare su un link per installare una patch urgente. In realtà si tratta uno script AutoHotkey che scarica e installa un’estensione per Microsoft Edge (o altri browser basati su Chromium) denominata SNOWBELT.
L’estensione è in pratica una backdoor JavaScript che mantiene la persistenza aggiungendo un link allo script nella directory di esecuzione automatica e un’attività pianificata. SNOWBELT permette quindi ai cybercriminali di installare altri due malware: SNOWGLAZE e SNOWBASIN. SNOWBELT monitora le attività dell’utente e inoltra a SNOWBASIN i comandi ricevuti dal server remoto. Quest’ultima è una backdoor Python che opera come server HTTP locale, esegue i comandi e ruba dati, cattura screenshot e accede ai file.
SNOWGLAZE è invece un network tunneler (scritto in Python). Crea un tunnel WebSocket tra la rete locale della vittima e l’infrastruttura C2 (command ad control) dei cybercriminali. Viene usato in pratica per mascherare il traffico TCP tramite proxy SOCKS.
Durante l’attacco viene effettuato il dump della memoria LSASS e usato il tool FTK Imager per estrarre il database di Active Directory, insieme alle chiavi di registro SYSTEM, SAM e SECURITY. Questi file sono esfiltrati tramite LimeWire. I ricercatori di Mandiant hanno fornito alcuni consigli per rilevare questa minaccia e proteggere i sistemi aziendali.
Ti potrebbe interessare
26 apr 2026