Un groupe de menaces récemment identifié, nommé UNC6692, a été détecté en train d'utiliser Microsoft Teams comme porte d'entrée. Les attaquants se font passer pour des techniciens informatiques et incitent les employés à accepter des invitations à discuter depuis de faux comptes. Une fois à l'intérieur, ils convainquent la victime d'exécuter des fichiers malveillants, installant le malware SNOW qui accorde un contrôle à distance total du système.
Le malware SNOW opère comme une porte dérobée persistante 🛡️
SNOW est un cheval de Troie d'accès à distance conçu pour opérer furtivement. Une fois exécuté, il établit une communication avec des serveurs de commande et de contrôle, permettant aux attaquants de voler des identifiants, des fichiers et des données sensibles. Le malware utilise des techniques d'obfuscation pour échapper à la détection et peut exécuter des commandes arbitraires, se déplacer latéralement sur le réseau et déployer des charges supplémentaires, le tout sous le radar des solutions de sécurité de base.
Le technicien informatique que tu n'as pas demandé et qui vide ton compte 💸
Si tu as déjà pensé que le support technique était ennuyeux, attends de rencontrer UNC6692. Ces faux techniciens ne se contentent pas de te demander d'éteindre et de rallumer l'ordinateur, ils t'installent en plus un petit cadeau appelé SNOW. Le meilleur dans tout ça, c'est que tu n'as même pas besoin de les appeler : ils te contactent en premier, avec cette amabilité que seul un cybercriminel peut feindre. Au final, le seul problème qu'ils résolvent est celui de ton compte bancaire, en le laissant vide.