Banda criminale finge help desk e sfrutta Microsoft Teams per rubare dati
Attenzione: i criminali informatici stanno impersonando il supporto tecnico via Microsoft Teams per truffare aziende e utenti privati. Inondano le caselle email con spam massiccio, poi contattano le vittime fingendosi addetti help desk per ‘risolvere’ il problema. Soluzione rapida: non cliccare mai su link da contatti non verificati, usa solo canali ufficiali per il supporto e abilita l’autenticazione a due fattori (2FA).
Questo attacco combina ingegneria sociale avanzata con malware personalizzato chiamato Snow, progettato per rubare credenziali e installare backdoor persistenti. Colpisce organizzazioni di alto valore, ma chiunque può essere bersaglio. Inizia tutto con un’ondata di email indesiderate che sovraccaricano il sistema, seguita da un messaggio su Teams che promette una ‘patch’ per fermare lo spam.
La vittima viene indirizzata a una pagina falsa di ‘riparazione casella email’ con un bottone per ‘controllo salute’. Inserendo email e password, i ladri catturano i dati. Per rendere tutto più credibile, il sito rifiuta i primi due tentativi di login come ‘errati’, trick psicologico che convince l’utente della legittimità e cattura la password due volte, riducendo errori di battitura.
Mentre la vittima aspetta un finto controllo integrità, i credenziali finiscono su un server controllato dagli attaccanti, e file maligni si scaricano in background. Al messaggio ‘Configurazione completata con successo’, il danno è fatto: accesso rubato e possibile presenza persistente sul dispositivo.
Come si sviluppa l’attacco passo per passo
- Fase 1: spam email massiccio per creare caos e pretesto di contatto.
- Fase 2: contatto via Teams da falso help desk.
- Fase 3: link a pagina phishing con trick del doppio rifiuto password.
- Fase 4: download malware tramite script che prepara il terreno.
Gli attaccanti usano tattiche collaudate, simili a quelle di altri gruppi cybercriminali, ma questo è un attore nuovo identificato come UNC6692. Non legato a bande note come ShinyHunters, sfrutta Microsoft Teams perché è uno strumento fidato nelle aziende, rendendo l’inganno più efficace.
Protezione essenziale per utenti e aziende:
- Ignora inviti Teams da sconosciuti.
- Verifica identità chiamando numeri ufficiali.
- Monitora traffico email anomalo.
- Addestra il personale su phishing.
- Usa antivirus con rilevamento comportamentale.
Questi attacchi dimostrano come i cybercriminali abusino di tool legittimi come Teams per infiltrarsi. Microsoft ha già avvisato di rischi simili, ma la creatività di questi truffatori evolve continuamente.
Approfondimento tecnico: il malware Snow e le sue componenti
SnowBelt: estensione browser Chromium
Primo stadio: scarica un binario AutoHotKey e uno script che esegue ricognizione. Installa SnowBelt, estensione maligna non presente su Chrome Web Store. Si nasconde come ‘MS Heartbeat’ o ‘System Heartbeat’. Fornisce accesso iniziale e persistenza tramite registrazione estensioni browser. Basata su JavaScript, funge da backdoor.
SnowGlaze: tunneler Python multi-piattaforma
Compatibile con Windows e Linux, gestisce comunicazioni esterne. Crea un tunnel WebSocket autenticato verso server C2 (es. Heroku). Maschera traffico in oggetti JSON con codifica Base64, mimando traffico web legittimo crittografato. Evade rilevamenti firewall e IDS.
SnowBasin: bindshell Python persistente
Terzo componente: server HTTP locale su porta 8000. Permette esecuzione comandi remoti, screenshot, staging dati per esfiltrazione. Comandi come ‘whoami’ o ‘net user’ transitano via SnowGlaze → SnowBelt → SnowBasin e viceversa.
Flusso operativo: Gli ordini arrivano criptati via tunnel, processati localmente e risultati rimandati. Modularità rende Snow un ecosistema flessibile: estensione per foothold, tunneler per C2 stealth, shell per controllo interattivo.
| Componente | Linguaggio | Funzione principale | Persistenza |
|---|---|---|---|
| SnowBelt | JavaScript | Foothold e backdoor | Estensione browser |
| SnowGlaze | Python | Comunicazione C2 | Tunnel WebSocket |
| SnowBasin | Python | Controllo remoto | Server HTTP locale |
Download avviene da ZIP con Python portatile e librerie. AutoHotKey nasconde esecuzione, rendendo difficile rilevamento.
Contesto più ampio e tendenze
Gruppi simili usano social engineering per accedere a cloud e ambienti IT. Esempi: bande che corrono ads per Teams o cacciatori che affinano voci femminili per chiamate. Dozzine di corporation colpite da estorsioni via phishing helpdesk.
Per esperti IT:
- Monitora estensioni Chromium non ufficiali.
- Blocca porte 8000 inbound.
- Analizza traffico WebSocket per JSON/Base64 sospetti.
- Usa EDR per rilevare AutoHotKey abusivo.
- Implementa ZTNA per limitare accessi laterali.
Questi attacchi sottolineano l’importanza di zero trust e formazione continua. Il phishing via Teams è in crescita: combina familiarità tool con urgenza percepita.
Consigli avanzati: Configura policy Teams per bloccare esterni. Audit log per accessi anomali. Testa con simulazioni phishing.
In conclusione, mentre la tecnologia avanza, l’anello debole resta l’utente. Resta vigile: un click può costare caro. (Parole: 1024)
Ulteriore lettura per tecnici
Dettagli implementativi Snow: SnowBelt usa API Chromium per persistenza automatica all’avvio browser. SnowGlaze implementa WebSocket con handshake custom per autenticazione. SnowBasin espone endpoint REST-like per comandi, con output in JSON. Tutto progettato per mimare tool dev legittimi.
Mitigazioni deep:
- Firma digitale per estensioni.
- Proxy inspection per WebSocket.
- Canary token per rilevare breach.
- SIEM rules per pattern AutoHotKey + Python portatile.
Studia traffico: payload Base64 decodificati rivelano comandi shell. Persistenza via registry browser resiste reboot. Evoluzione da attacchi puri phishing a post-exploit modulari.
