- Google detecta un nuevo grupo de amenazas, UNC6692, que utiliza inundaciones de spam y mensajes falsos de soporte de TI a través de Microsoft Teams para engañar a las víctimas
- Los objetivos eran atraídos a una página de destino que recopilaba credenciales y desplegaba un marco de malware de tres partes con el tema de la nieve.
- El kit de herramientas incluye una extensión de navegador centrada en la persistencia, una herramienta de tunelización para la filtración de datos y una puerta trasera que permite la toma completa del punto final.
Anteriormente, Google hizo sonar la alarma sobre un grupo de actores de amenazas indocumentados que utilizó descaradas técnicas de ingeniería social para implementar una trilogía de malware.
En un informe en profundidad, Google dice que ha visto a UNC6692, aparentemente una nueva cepa, bombardear las bandejas de entrada de correo electrónico de destino con innumerables mensajes de spam en un corto período de tiempo.
Pronto, se comunicarán con el propietario de esa bandeja de entrada a través de Microsoft Teams a través de la función de inquilinos cruzados y se presentarán como funcionarios de TI/servicio de asistencia técnica. Dirán que se les ha encomendado la tarea de resolver el problema del spam y compartirán un enlace a una página de inicio donde se puede encontrar la supuesta solución.
El artículo continúa a continuación.
Estructura ‘nieve’
A quienes siguen el enlace primero se les pide que realicen una “verificación de estado” haciendo clic en un botón en la página que solicita al usuario que se autentique usando su correo electrónico y contraseña, que se envía a los servidores de los atacantes.
Google también ha notado que los intentos de inicio de sesión nunca funcionan en el primer intento: un intento deliberado de aumentar la legitimidad percibida y garantizar que las víctimas no compartan una contraseña falsa o con errores tipográficos.
Después de “iniciar sesión”, la página realiza una “verificación de integridad del correo electrónico”, que es una tapadera de lo que sucede en segundo plano: la implementación de un marco de malware que consta de tres componentes.
“Cuando el usuario recibe un mensaje de ‘configuración completada exitosamente’, el atacante ha asegurado sus credenciales y potencialmente ha establecido una posición permanente en el terminal utilizando estos archivos preparados”, dijo Google en el informe.
El marco tiene como tema la nieve e incluye tres herramientas: Snowbelt, Snowglaze y Snowbasin.
La primera es una extensión basada en Chromium que implementa persistencia a través del sistema de registro de extensiones del navegador. Las extensiones suelen denominarse “MS Heartbeat” o “System Heartbeat”.
El segundo es un tunelizador que crea un túnel websocket autenticado, lo que permite una comunicación sencilla y una posible extracción de datos. La tercera es una puerta trasera que permite la adquisición completa de endpoints.
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
