Grupo UNC6692 tem usado o Microsoft Teams para se passar por equipe de TI, distribuir uma família de malwares chamada SNOW e abusar de serviços na nuvem para entrega e exfiltração.
Foi observado um cluster de atividade maliciosa apelidado UNC6692 que usa engenharia social via Microsoft Teams para implantar um conjunto de malwares personalizado em hosts comprometidos.
A tática principal consiste em se passar por técnicos do suporte de TI e convencer as vítimas a aceitar convites de chat vindos de contas externas à organização.
Antes do contato via Teams, os atacantes enviam uma grande quantidade de spam para inundar a caixa de entrada e criar uma sensação de urgência.
Na conversa, o atacante se oferece para ajudar com o problema de “email bombing” e induz a vítima a instalar uma ferramenta ou clicar em um link de “correção”.
Em alguns casos os chats entre contas maliciosas e as vítimas foram iniciados com apenas segundos de diferença.
O objetivo varia entre instalar ferramentas legítimas de suporte remoto e entregar payloads maliciosos, ou direcionar a vítima a uma página de phishing chamada Mailbox Repair and Sync Utility v2.1.5.
Essa página distribui um script AutoHotkey hospedado em um bucket AWS S3 controlado pelo atacante, que faz um reconhecimento inicial e aciona a cadeia de entrega.
O script instala uma extensão maliciosa chamada SNOWBELT no navegador Edge, lançando o browser em modo headless com a opção –load-extension para carregar o componente.
Um mecanismo de porta de entrada garante que o ataque só seja executado em alvos pretendidos e tenta evitar sandboxes automatizados, exibindo uma sobreposição persistente quando o usuário não está usando o Edge.
Usando a extensão SNOWBELT, o atacante baixa outros componentes como SNOWGLAZE, SNOWBASIN, scripts AutoHotkey e um ZIP contendo um Python portátil com bibliotecas necessárias.
A mesma página de phishing também apresenta um painel de gerenciamento de configuração com um botão de checagem de integridade que solicita credenciais de caixa postal, usadas para coleta de dados e exfiltração para um bucket na nuvem.
O ecossistema de malware inclui SNOWBELT como backdoor em JavaScript, SNOWGLAZE como tunelador em Python, e SNOWBASIN como backdoor persistente para execução remota de comandos.
SNOWBASIN é capaz de executar cmd.exe ou powershell.exe, capturar telas, transferir arquivos, encerrar sua própria execução e expor um servidor HTTP local em portas como 8000, 8001 ou 8002.
Nas fases de pós-exploração os invasores escaneiam a rede local em busca de portas como 135, 445 e 3389 para movimentos laterais e utilizam o tunelador para estabelecer sessões PsExec ou iniciar RDP.
Eles também extraem memória do processo LSASS para escalonamento de privilégios e usam técnicas como Pass-The-Hash para chegar a controladores de domínio.
Ferramentas legítimas são empregadas para capturar imagens forenses e transferir arquivos, facilitando a coleta e exfiltração de dados sensíveis.
Essas campanhas mostram evolução nas técnicas, combinando engenharia social, malware personalizado e o abuso de serviços em nuvem legítimos tanto para entrega quanto para exfiltração.
O uso de impersonação no Microsoft Teams faz parte de uma tendência mais ampla e destaca a importância de fluxos fortes de verificação e do endurecimento de mecanismos como PowerShell.
