I ricercatori di Mandiant, società controllata da Google, hanno individuato una nuova campagna malevola che prende di mira soprattutto le aziende. Al centro dell’attacco c’è Snow, una suite di malware distribuita dal gruppo UNC6692 attraverso ingegneria sociale, messaggi su Teams e un’estensione per browser basati su Chromium.
La strategia è quella del falso supporto tecnico, una tecnica ormai nota ma ancora molto efficace perché fa leva sull’urgenza e sulla fiducia degli utenti. Il dipendente riceve un avviso apparentemente legittimo e viene convinto a seguire istruzioni che, in realtà, aprono la strada all’installazione dei componenti malevoli.
Nuovo malware Snow e catena di infezione
Secondo Mandiant, la catena di infezione inizia con un messaggio di phishing inviato tramite Teams da un presunto reparto di assistenza. Il contenuto invita la vittima a cliccare su un link per installare una patch urgente, ma il collegamento porta a uno script AutoHotkey che scarica e avvia un’estensione per Microsoft Edge o per altri browser Chromium, nota come SNOWBELT.
SNOWBELT non è una semplice estensione: di fatto agisce come una backdoor JavaScript. Una volta installata, garantisce persistenza nel sistema aggiungendo un collegamento alla directory di esecuzione automatica e creando anche un’attività pianificata. Da quel momento i criminali possono usare il malware per distribuire altri due payload: SNOWGLAZE e SNOWBASIN.
SNOWBELT svolge inoltre un ruolo di controllo, monitorando le attività dell’utente e inoltrando a SNOWBASIN i comandi ricevuti dal server remoto. Questa seconda componente è una backdoor scritta in Python che opera come server HTTP locale. Le sue funzioni includono l’esecuzione di comandi, il furto di dati, la cattura di screenshot e l’accesso ai file presenti nel dispositivo compromesso.
Le funzioni di SNOWGLAZE e SNOWBASIN
Il malware SNOWGLAZE è invece un network tunneler sviluppato in Python. Il suo compito è creare un tunnel WebSocket tra la rete locale della vittima e l’infrastruttura di command and control degli attaccanti. In pratica viene usato per mascherare il traffico TCP e farlo passare attraverso un proxy SOCKS, rendendo più difficile l’individuazione delle comunicazioni malevole.
Questa architettura a più livelli consente agli aggressori di gestire con maggiore flessibilità l’accesso ai sistemi infetti e di nascondere meglio le operazioni in corso. La combinazione di phishing, estensioni browser e moduli separati rende la minaccia più difficile da intercettare con i controlli tradizionali.
Raccolta dati e tecniche di esfiltrazione
Durante l’attacco, i ricercatori hanno osservato anche attività tipiche di post-exploitation. I criminali effettuano il dump della memoria di LSASS e usano FTK Imager per estrarre il database di Active Directory, oltre alle chiavi di registro SYSTEM, SAM e SECURITY. Si tratta di informazioni particolarmente sensibili, utili per espandere il controllo sull’infrastruttura aziendale e muoversi lateralmente nella rete.
I file sottratti vengono poi esfiltrati tramite LimeWire, una scelta insolita ma efficace per confondere l’analisi e sfruttare canali meno sospetti. Mandiant ha anche diffuso indicazioni per individuare questa attività e rafforzare le difese, ricordando che la formazione degli utenti e il controllo dei messaggi di supporto restano fondamentali per limitare il rischio. La campagna conferma ancora una volta quanto il social engineering sia centrale nelle intrusioni più recenti.
