Malware SNOW
Se ha identificado un grupo de amenazas previamente desconocido, identificado como UNC6692, que utiliza técnicas avanzadas de ingeniería social a través de Microsoft Teams para desplegar un malware personalizado conocido como SNOW Malware. Los atacantes suplantan sistemáticamente la identidad de personal de soporte técnico informático y persuaden a las víctimas para que acepten invitaciones de chat provenientes de cuentas externas.
Este engaño se ve reforzado por una campaña coordinada de bombardeo de correos electrónicos, en la que las víctimas son inundadas con mensajes no deseados para generar urgencia y confusión. Poco después, el atacante se pone en contacto a través de Teams, haciéndose pasar por el soporte técnico y ofreciendo ayuda para resolver el problema inventado. Esta táctica de manipulación de doble capa aumenta significativamente la probabilidad de que el usuario coopere.
Tabla de contenido
Tácticas tradicionales, impacto moderno
El patrón operativo refleja técnicas históricamente asociadas con afiliados de Black Basta. A pesar de que el grupo cesó sus operaciones de ransomware, sus métodos persisten y siguen siendo efectivos. Investigadores de seguridad han confirmado que este enfoque se dirige principalmente a ejecutivos y personal de alto nivel, lo que permite el acceso inicial a la red y puede derivar en la exfiltración de datos, el movimiento lateral, el despliegue de ransomware y la extorsión. En los casos observados, los chats iniciados por los atacantes se produjeron con apenas segundos de diferencia, lo que evidencia la automatización y la coordinación.
Punto de entrada engañoso: La solución falsa
A diferencia de los ataques tradicionales que se basan únicamente en herramientas de administración remota como Quick Assist o Supremo Remote Desktop, esta campaña introduce una cadena de infección modificada. Se dirige a las víctimas a hacer clic en un enlace de phishing compartido a través de Teams, presentado como una "Utilidad de reparación y sincronización de buzones v2.1.5".
El enlace activa la descarga de un script malicioso de AutoHotkey alojado en un servicio de almacenamiento en la nube controlado por el atacante. Un mecanismo de control garantiza que la carga útil se entregue únicamente a los objetivos previstos, lo que ayuda a evadir el análisis de seguridad automatizado. Además, el script verifica el uso del navegador y obliga a utilizar Microsoft Edge mediante advertencias persistentes, asegurando así la compatibilidad con componentes maliciosos posteriores.
SNOWBELT: La puerta trasera del navegador silencioso
El script inicial realiza un reconocimiento antes de desplegar SNOWBELT, una extensión de navegador maliciosa basada en Chromium. Instalada mediante un proceso Edge sin interfaz gráfica utilizando parámetros específicos de línea de comandos, SNOWBELT funciona como una puerta trasera encubierta. Facilita la descarga de cargas útiles adicionales, incluyendo SNOWGLAZE, SNOWBASIN, más scripts de AutoHotkey y un archivo comprimido que contiene un entorno Python portátil.
Simultáneamente, la interfaz de phishing presenta un "Panel de administración de configuración" con una función de "Verificación de estado". Esta interfaz solicita a los usuarios que ingresen las credenciales de su buzón de correo bajo la apariencia de autenticación, pero en realidad captura y extrae datos confidenciales a la infraestructura controlada por el atacante.
Ecosistema modular de malware: Análisis del marco SNOW
El conjunto de malware SNOW funciona como un ecosistema modular y coordinado diseñado para la persistencia, el control y el sigilo:
- SNOWBELT actúa como un relé de comandos basado en JavaScript, recibiendo instrucciones del atacante y reenviándolas para su ejecución.
- SNOWGLAZE funciona como una utilidad de tunelización basada en Python, que establece una conexión WebSocket segura entre la red comprometida y el servidor de comando y control del atacante.
- SNOWBASIN funciona como una puerta trasera persistente, que permite la ejecución remota de comandos, la transferencia de archivos, la captura de pantallas y la autoeliminación, al tiempo que opera como un servidor HTTP local en múltiples puertos.
Post-explotación: Ampliando el control y extrayendo datos.
Tras la intrusión inicial, el atacante ejecuta una serie de acciones para profundizar en el acceso y extraer información valiosa:
El reconocimiento de la red se lleva a cabo mediante el escaneo de puertos críticos, seguido del movimiento lateral utilizando herramientas administrativas y sesiones de escritorio remoto tunelizadas a través de sistemas comprometidos.
La escalada de privilegios se logra extrayendo memoria de procesos sensibles, lo que permite la obtención de credenciales y el acceso no autorizado a sistemas de nivel superior.
Se utilizan técnicas avanzadas como Pass-the-Hash para comprometer los controladores de dominio, tras lo cual se despliegan herramientas forenses para recopilar datos confidenciales, incluidas bases de datos de directorios, que luego se extraen mediante utilidades de transferencia de archivos.
Camuflaje en la nube: mezclando tráfico malicioso con servicios legítimos.
Una característica distintiva de esta campaña es el abuso estratégico de la infraestructura en la nube de confianza. Las cargas maliciosas, la exfiltración de datos y las comunicaciones de comando y control se enrutan a través de plataformas legítimas en la nube. Este enfoque permite que la actividad maliciosa se integre sin problemas con el tráfico empresarial normal, eludiendo eficazmente los filtros de seguridad tradicionales basados en la reputación o la detección de anomalías.
Panorama de amenazas en evolución: la confianza como objetivo principal
La campaña UNC6692 pone de manifiesto una importante evolución en las estrategias de ciberataque, que combinan ingeniería social, herramientas empresariales de confianza y malware modular. Al explotar la confianza de los usuarios en plataformas y servicios ampliamente utilizados, los atacantes aumentan sus tasas de éxito y minimizan su detección. La persistencia de tácticas tradicionales junto con mecanismos de distribución innovadores subraya una realidad crucial: las estrategias de ataque eficaces pueden perdurar mucho después de que sus operadores originales desaparezcan.
