Un finto tecnico su Teams ruba le password di tutta l’azienda

Se ricevi un messaggio su Microsoft Teams da qualcuno che si presenta come supporto IT e ti chiede di cliccare un link per bloccare lo spam email, non farlo. Il gruppo criminale UNC6692 usa esattamente questo schema per installare un malware chiamato Snow e prendere il controllo completo della rete aziendale.

Come funziona l’attacco: Teams come cavallo di Troia

Secondo l’analisi pubblicata questa settimana da BleepingComputer, basata sulla ricerca dei team Mandiant di Google, tutto comincia con una tecnica chiamata email bombing: la vittima viene inondata di email spazzatura per creare panico e urgenza.

A quel punto arriva il messaggio su Microsoft Teams, apparentemente da un tecnico del supporto IT. La vittima crede di dover cliccare un link per installare una patch anti-spam.

In realtà scarica un dropper che esegue script AutoHotkey e installa SnowBelt, un’estensione malevola per Chrome.

Snow, SnowBelt, SnowBasin, SnowGlaze: un arsenale completo

La suite Snow è composta da quattro componenti distinti che lavorano insieme. SnowBelt funziona sia da meccanismo di persistenza che da relay per i comandi. SnowGlaze è un tunneler che apre una connessione WebSocket verso il server di comando e controllo, mascherando tutto il traffico e abilitando anche operazioni da proxy SOCKS.

SnowBasin è il cuore operativo: una backdoor in Python che gira come server HTTP locale, esegue comandi CMD e PowerShell, cattura screenshot, scarica file e trafuga dati. Gli attaccanti possono anche impartire un comando di auto-distruzione per eliminare ogni traccia.

Onestamente, la modularità di questo toolkit mi preoccupa più del vettore di attacco iniziale: non è roba improvvisata.

Non è la prima volta che Teams viene sfruttato in questo modo. Nel 2023 il gruppo Storm-0324 (legato a Fin7) usava già Teams per distribuire DarkGate con un approccio quasi identico: account compromessi di terze parti che fingevano supporto tecnico. UNC6692 ha semplicemente alzato il livello di sofisticazione, aggiungendo un toolkit modulare invece di un singolo payload.

Il problema strutturale è che Teams consente per default la messaggistica da tenant esterni, e la maggior parte degli amministratori italiani non lo sa o non l’ha mai cambiato. Slack, per confronto, blocca i messaggi diretti da workspace non approvati salvo whitelist esplicita: una differenza di policy che in questo scenario fa tutta la differenza del mondo.

Il danno finale: le credenziali di tutto il dominio aziendale

Dopo l’accesso iniziale, gli attaccanti scandagliano la rete alla ricerca di servizi SMB e RDP, si muovono lateralmente usando tecniche pass-the-hash dopo aver estratto le credenziali dalla memoria LSASS, e alla fine raggiungono i domain controller. Il colpo finale è l’estrazione del database Active Directory insieme ai registry hive SYSTEM, SAM e SECURITY, tutto esfiltrato via LimeWire.

Se questo schema si consolida nei prossimi mesi, il rischio concreto è che i team IT vengano sopraffatti da falsi positivi: ogni richiesta legittima di supporto diventerà sospetta, rallentando le operazioni interne. Le aziende che adottano prima una policy di External Access restrittiva su Teams avranno un vantaggio difensivo reale rispetto a chi aspetta una circolare del vendor.

Questo schema di attacco non è poi così lontano da quello che Microsoft semplifica la condivisione dei file su Android , in entrambi i casi il vettore è la fiducia che gli utenti ripongono nell’ecosistema Microsoft. Io lavorerei immediatamente sulle policy di Teams nelle aziende: bloccare i messaggi da account esterni non verificati è il primo passo, ed è gratis.

, Giorgio

Stay tech 🦾