Tormenta de malware 'Snow': Hackers usan Microsoft Teams para distribuir una nueva carga devastadora

Una nueva y altamente sofisticada campaña de ciberespionaje, rastreada por investigadores de seguridad como UNC6692, está causando revuelo en la comunidad de ciberseguridad. La campaña emplea una novedosa técnica de ingeniería social que combina correo electrónico no deseado con llamadas de Microsoft Teams para distribuir un conjunto de malware personalizado conocido como 'Snow'. Esta cadena de ataque representa una evolución significativa en la forma en que los actores de amenazas explotan la confianza en las herramientas de colaboración para eludir las medidas de seguridad tradicionales.

El ataque comienza con una campaña de spam dirigida a individuos específicos dentro de una organización. Estos correos electrónicos están diseñados para inundar la bandeja de entrada de la víctima con un gran volumen de mensajes, creando confusión y urgencia. El objetivo es abrumar al objetivo, haciéndolo más susceptible a un ataque de seguimiento.

Poco después de la inundación de spam, la víctima recibe una llamada de Microsoft Teams de alguien que se hace pasar por un representante del servicio de asistencia técnica. El atacante afirma estar respondiendo al problema de spam y se ofrece a ayudar a resolverlo. Durante la llamada, el atacante instruye a la víctima para que instale una herramienta de gestión remota o una aplicación aparentemente legítima, que en realidad es la carga útil del malware 'Snow'.

Una vez instalado, Snow establece persistencia en el sistema comprometido y comienza sus actividades maliciosas. El malware es capaz de capturar capturas de pantalla a intervalos regulares, extraer datos confidenciales y mantener una puerta trasera para acceso remoto. La funcionalidad de captura de pantalla es particularmente preocupante, ya que permite a los atacantes monitorear las actividades de la víctima en tiempo real, potencialmente capturando credenciales, comunicaciones internas y otra información confidencial.

El conjunto de malware Snow es modular y parece estar construido a medida para esta campaña. Incluye componentes para la extracción de datos, registro de teclas y comunicación con el servidor de comando y control (C2). El malware utiliza canales cifrados para comunicarse con sus servidores C2, lo que dificulta la detección y el análisis por parte de los equipos de seguridad.

Esta campaña destaca la creciente tendencia de utilizar herramientas de colaboración como vectores de ataque. Microsoft Teams, en particular, se ha convertido en un objetivo principal debido a su adopción generalizada en entornos empresariales. Los atacantes explotan la confianza inherente que los usuarios depositan en estas plataformas, utilizando la ingeniería social para eludir los controles técnicos.

Para los profesionales de la seguridad, esta campaña subraya la necesidad de una formación integral en concienciación sobre seguridad que vaya más allá del phishing basado en correo electrónico. Las organizaciones deben educar a los empleados sobre los riesgos de las llamadas y mensajes no solicitados en las plataformas de colaboración, incluso si parecen provenir de fuentes internas.

Los indicadores técnicos asociados con esta campaña incluyen dominios y direcciones IP específicos utilizados para la comunicación C2, así como hashes de archivos para el malware Snow. Los equipos de seguridad deben monitorear la actividad inusual de Teams, como llamadas de números desconocidos o solicitudes para instalar software durante una llamada.

En conclusión, la campaña UNC6692 representa una amenaza significativa para la seguridad empresarial. La combinación de spam por correo electrónico e ingeniería social basada en Teams crea una poderosa cadena de ataque que puede eludir las defensas tradicionales. Las organizaciones deben adoptar un enfoque de seguridad de múltiples capas que incluya controles técnicos, educación del usuario y búsqueda proactiva de amenazas para defenderse de campañas tan sofisticadas.