UNC6692 Impersonates IT Helpdesk via Microsoft Teams to Deploy SNOW Malware

1 minute de lecture

Mis à jour : April 23, 2026

Campagne d’ingénierie sociale UNC6692 : le malware SNOW

Le groupe de menace UNC6692 utilise des tactiques d’ingénierie sociale sophistiquées via Microsoft Teams pour infiltrer les entreprises. La méthode repose sur une attaque préalable de “bombardement d’e-mails” pour créer une urgence, suivie d’une prise de contact par un faux support informatique proposant son aide via Teams.

Points clés :

Ciblage : Les cadres et employés seniors sont la cible principale (77 % des incidents observés récemment).
Vecteur d’attaque : Utilisation d’un faux portail de réparation de messagerie menant au téléchargement d’un script AutoHotkey, qui déploie ensuite l’extension malveillante SNOWBELT sur le navigateur Edge.
Écosystème malveillant (SNOW) :
- SNOWBELT : Extension de navigateur (backdoor JavaScript).
- SNOWGLAZE : Outil de tunnelisation WebSocket pour maintenir l’accès.
- SNOWBASIN : Backdoor persistante permettant l’exécution de commandes à distance.
Objectifs post-exploitation : Mouvements latéraux, vol de données via des outils légitimes (FTK Imager), exfiltration (LimeWire) et utilisation du Pass-The-Hash sur les contrôleurs de domaine.
Détournement d’infrastructure : Exploitation abusive de services cloud légitimes (AWS S3) pour héberger les payloads et assurer le contrôle C2, afin de contourner les filtres de sécurité.

Vulnérabilités : Aucune CVE spécifique n’est exploitée ; l’attaque repose sur l’abus de fonctionnalités légitimes (load-extension), de services cloud (AWS S3) et sur la manipulation humaine (social engineering).

Recommandations :

Processus de vérification : Imposer des protocoles stricts de vérification de l’identité pour toute demande d’assistance technique, même au sein des outils de collaboration.
Configuration de Teams : Restreindre les communications et le partage d’écran avec des utilisateurs externes.
Durcissement de la sécurité : Renforcer les politiques d’exécution PowerShell et surveiller les comportements suspects liés à l’installation d’extensions de navigateur non autorisées.
Sensibilisation : Former les employés, en particulier les cadres, à reconnaître les tactiques d’ingénierie sociale basées sur un faux sentiment d’urgence.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

UNC6692 Impersonates IT Helpdesk via Microsoft Teams to Deploy SNOW Malware

Campagne d’ingénierie sociale UNC6692 : le malware SNOW

Partager sur

Vous pourriez aimer

[Webinar] Mythos Reality Check: Beating Automated Exploitation at AI Speed

La menace de l’exploitation automatisée à l’ère de l’IA

Vercel Finds More Compromised Accounts in Context.ai-Linked Breach

Extension de la compromission des comptes Vercel via un incident lié à l’IA

UK warns of Chinese hackers using proxy networks to evade detection

Menace accrue des botnets chinois : détournement d’appareils domestiques

Trigona ransomware attacks use custom exfiltration tool to steal data

L’évolution furtive du ransomware Trigona