I en tid där distansarbete och digitala samarbetsverktyg blivit en del av vardagen, utnyttjar cyberbrottslingar dessa plattformar för att genomföra avancerade attacker. Den senaste hotgruppen, UNC6692, har visat särskild skicklighet genom att använda Microsoft Teams som en attackvektor. Genom att impersonera IT-supportpersonal lyckas de lura användare att ge dem tillgång till känslig data.

Google's Threat Intelligence Group har avslöjat hur dessa cyberbrottslingar genomför sina attacker. Det hela börjar ofta med en massiv e-postkampanj som överbelastar offrets inkorg. När mottagaren är som mest frustrerad och mottaglig för hjälp, skickas en inbjudan via Microsoft Teams från någon som utger sig för att vara en IT-supporttekniker. Denna person erbjuder en lösning på e-postproblemet genom att installera ett påstått lokalt patch.

Offret ombeds klicka på en länk som leder till en falsk landningssida, designad som en "Mailbox Repair Utility". Här blir användaren lurad att ange sina e-postuppgifter, som omedelbart stjäls av angriparna. En särskilt smart detalj är att sidan använder ett psykologiskt trick som avvisar de första lösenordsförsöken, vilket ökar offrets förtroende för sidans legitimitet och säkerställer att lösenordet fångas korrekt.

Den skräddarsydda malware som används i dessa attacker kallas Snow. Den består av flera komponenter, inklusive SnowBelt, en JavaScript-baserad bakdörr, och SnowGlaze, en Python-baserad tunnel. SnowBelt fungerar som en förlängning i webbläsaren Chromium, vilket ger kontinuerlig tillgång till offrets system. Tillsammans med dessa komponenter laddas ytterligare skript och verktyg ned, vilka möjliggör djupare intrång och datastöld.

Denna typ av attack visar på en större trend där cyberbrottslingar i allt högre grad utnyttjar samarbetsverktyg som Microsoft Teams för att få tillgång till känslig information. I Skandinavien, där dessa verktyg blivit allt vanligare, är det viktigt för företag och organisationer att vara medvetna om dessa hot och implementera nödvändiga säkerhetsåtgärder. Microsoft har redan utfärdat varningar och rekommenderar användare att vara skeptiska mot oväntade kommunikationer och att alltid verifiera identiteten på den som kontaktar dem.

För att skydda sig mot dessa sofistikerade attacker är det avgörande att utbilda anställda om social ingenjörskonst och vikten av säker lösenordshantering. Dessutom bör organisationer överväga att använda flerfaktorsautentisering och avancerade säkerhetslösningar för att upptäcka och blockera misstänkt aktivitet innan skadan är skedd. Det är tydligt att i den digitala tidsåldern, där samarbetsverktyg är centrala för arbetsflödet, är cybersäkerhet mer kritiskt än någonsin.

FAKTAKOLL: Notering — Artikeln nämner endast två komponenter av Snow malware: SnowBelt och SnowGlaze, medan källan beskriver tre komponenter: SnowBelt, SnowGlaze och SnowBasin.; Artikeln nämner inte att SnowBelt ofta döljer sig bakom namn som 'MS Heartbeat' eller 'System Heartbeat', vilket är en detalj som finns i källmaterialet.