I en tid där många företag förlitar sig på digitala kommunikationsverktyg som Microsoft Teams för sin dagliga verksamhet, har en ny hotbild dykt upp. En cyberbrottsgrupp, känd som UNC6692, har utvecklat en skräddarsydd malware-svit vid namn 'Snow' som använder Microsoft Teams som en vektor för att infektera system och stjäla känslig data. Det är en oroande utveckling som lyfter fram de potentiella säkerhetsutmaningar som företag står inför.

Malware-sviten 'Snow' är sofistikerad och består av flera komponenter: ett webbläsartillägg, en tunneler och en bakdörr. Dessa verktyg ger angriparna omfattande kontroll över de infekterade systemen. Genom att utge sig för att vara IT-supportpersonal lyckas de lura användare att installera den skadliga programvaran genom social ingenjörskonst. Denna metod innebär att användarna uppmanas att klicka på länkar som installerar vad som påstås vara en säkerhetsuppdatering, men som i verkligheten är en dörröppnare för malware.

Enligt en rapport från säkerhetsforskningsföretaget Mandiant använder angriparna en teknik kallad 'email bombing' för att öka känslan av brådska och få användare att agera snabbt utan att ifrågasätta. När användarna väl har klickat på den skadliga länken installeras en dropper som kör AutoHotkey-skript. Dessa skript laddar i sin tur 'SnowBelt', ett skadligt Chrome-tillägg som körs i en tyst Microsoft Edge-instans, vilket gör att användarna inte märker något.

SnowBelt fungerar som en kvarhållande mekanism och en relästation för kommandon som skickas från angriparna via ett Python-baserat backdoor-verktyg kallat SnowBasin. Kommunikation mellan den infekterade datorn och angriparnas kontrollcenter sker via ett WebSocket-tunnelverktyg, SnowGlaze, som också stödjer SOCKS-proxyoperationer. Detta tillåter att godtycklig TCP-trafik kan routas genom den infekterade datorn, vilket ytterligare maskerar angriparnas aktiviteter.

För svenska företag, där Microsoft Teams ofta är en central del av den digitala arbetsmiljön, är detta en allvarlig påminnelse om vikten av grundläggande säkerhetshygien och medvetenhet. Det är avgörande att utbilda personalen i att känna igen social ingenjörskonst och alltid verifiera källan till ovanliga förfrågningar, särskilt när de påstås komma från intern IT-support.

Denna utveckling understryker också behovet av att företag implementerar avancerade säkerhetsåtgärder, som flerfaktorsautentisering och regelbunden övervakning av nätverkstrafik, för att tidigt upptäcka och avvärja hot. Med rätt förberedelser kan företag minska risken att bli nästa offer för denna typ av sofistikerad cyberattack.

FAKTAKOLL: Notering — Det finns ingen källa som nämner 'SnowGlaze' som ett WebSocket-tunnelverktyg med SOCKS-proxyoperationer.; Det finns ingen källa som nämner 'SnowBasin' som ett Python-baserat backdoor-verktyg.; Det finns ingen källa som nämner 'SnowBelt' som ett skadligt Chrome-tillägg som körs i en tyst Microsoft Edge-instans.