По данным группы Google Threat Intelligence Group, ранее неизвестная группа злоумышленников, использующая проверенные временем тактики социальной инженерии — приглашения в чаты Microsoft Teams и выдача себя за сотрудников службы поддержки, — также применяет в своих атаках по краже данных специально созданное вредоносное ПО.
Охотники за угрозами сообщают, что в конце декабря 2025 года они обнаружили «масштабную фишинговую кампанию». Атака начиналась с заваливания целевых организаций огромным объемом электронной почты. Затем кто-то, выдавая себя за сотрудника службы поддержки, связывался через Microsoft Teams, предлагая помощь с объемом почты.
Поддельный сотрудник службы поддержки предлагает пользователю нажать на ссылку, которая якобы устанавливает локальный патч для предотвращения спама по электронной почте. Это перенаправляет жертв на целевую страницу, замаскированную под «Утилиту восстановления почтового ящика» с кнопкой «Проверка работоспособности», нажатие на которую запрашивает у пользователей аутентификацию с использованием их электронной почты и пароля, позволяя злоумышленникам их перехватить.
Скрипт для сбора учетных данных также использует хитрый психологический трюк «двойного ввода», который автоматически отклоняет первую и вторую попытки ввода пароля как неверные.
«Это служит двум целям: оно укрепляет уверенность пользователя в том, что система легитимна и выполняет проверку в реальном времени, а также гарантирует, что злоумышленник дважды получит пароль, что значительно снижает риск опечатки в украденных данных», — говорится в сообщении GTIG.
Затем фишинговая страница выполняет фиктивную проверку целостности почтового ящика, что удерживает жертву вовлеченной, пока учетные данные и метаданные отправляются в управляемое злоумышленниками хранилище Amazon S3, а подготовленные файлы продолжают загружаться на машину пользователя.
«К тому моменту, когда пользователь получает сообщение «Конфигурация успешно завершена», злоумышленник уже получил учетные данные и потенциально закрепился в конечной точке с помощью этих подготовленных файлов», — написали сотрудники Google.
На первом этапе загружается исполняемый файл AutoHotKey и скрипт AutoHotkey, который немедленно начинает проводить разведку и устанавливает вредоносное расширение для браузера Chromium под названием SnowBelt. (Оно недоступно через Chrome Web Store — только посредством тактик социальной инженерии.)
Вредоносное ПО Snow
UNC6692 использует расширение SnowBelt для загрузки другого своего специально созданного вредоносного ПО под названием «Snow», а также дополнительных скриптов AutoHotkey и ZIP-архива, содержащего переносимый исполняемый файл Python и необходимые библиотеки.
Сообщается, что вредоносное ПО Snow функционирует как модульная экосистема с тремя основными компонентами: SnowBelt, SnowGlaze и SnowBasin.
SnowBelt, бэкдор на основе JavaScript, доставляемый в виде расширения браузера Chromium, обеспечивает первоначальное закрепление и поддерживает постоянство через систему регистрации расширений браузера. Он часто маскируется под именами вроде «MS Heartbeat» или «System Heartbeat».
SnowGlaze — это туннелер на основе Python, работающий как в средах Windows, так и Linux, который управляет внешней связью. Он создает аутентифицированный туннель WebSocket между внутренней сетью жертвы и инфраструктурой командно-контрольного центра (C2) злоумышленника, например, субдоменом Heroku.
Он также маскирует вредоносный трафик, оборачивая данные в объекты JSON и кодируя их в Base64 для передачи через WebSockets, что заставляет его выглядеть как легитимный, стандартный зашифрованный веб-трафик.
Наконец, SnowBasin — это Python bindshell, обеспечивающий интерактивное управление зараженной системой. Он служит постоянным бэкдором, работая как локальный HTTP-сервер и обычно прослушивая порт 8000, что позволяет удаленно выполнять команды, делать снимки экрана и подготавливать данные для эксфильтрации.
«В этом компоненте происходит активная разведка и выполнение миссии», — отметили охотники за угрозами. «Команды злоумышленника (такие как whoami или net user) отправляются через туннель SnowGlaze, перехватываются расширением SnowBelt, а затем проксируются на локальный сервер SnowBasin через HTTP POST-запросы. SnowBasin выполняет эти команды и передает результаты обратно злоумышленнику по тому же каналу».
Подобные интерактивные тактики социальной инженерии оказались весьма прибыльными для киберпреступных группировок, таких как ShinyHunters и Scattered Lapsus$ Hunters. Однако аналитики Google сообщили The Register, что между этими командами и новой группой, которую они отслеживают как UNC6692, нет никакого совпадения.
Анализ Google в отношении UNC6692 и ее кампании социальной инженерии через Teams следует за предупреждением от Microsoft о том, что преступники злоупотребляют коммуникациями Microsoft Teams и выдают себя за сотрудников службы поддержки, чтобы поймать пользователей, а затем удаленно управлять их машинами и заражать их.
Несмотря на сходство, исследователи безопасности Google сообщили нам, что две кампании, по-видимому, не связаны.
Тем не менее, они служат хорошим напоминанием о растущем числе цифровых мошенников, использующих очень убедительные тактики социальной инженерии наряду с легитимными облачными сервисами и инструментами для закрепления в ИТ-средах организаций. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Jessica Lyons
