Hackerii se dau drept suport tehnic pe Microsoft Teams. Noua schemă prin care îți fură parolele și datele

O grupare de criminalitate cibernetică necunoscută până recent folosește Microsoft Teams pentru a păcăli angajații companiilor și a le fura datele. Metoda este una periculoasă tocmai pentru că pare familiară: victima primește un val de e-mailuri, apoi este contactată de cineva care se prezintă drept angajat al departamentului de suport tehnic și oferă „ajutor” pentru rezolvarea problemei.

Potrivit Google Threat Intelligence Group, atacul combină ingineria socială cu malware personalizat și servicii cloud legitime, astfel încât activitatea malițioasă să pară cât mai credibilă. Gruparea este urmărită de Google sub numele UNC6692 și folosește o familie de instrumente denumite Snow, create pentru acces persistent, furt de date și control de la distanță asupra sistemelor infectate.

Cum începe atacul prin Microsoft Teams

Campania observată de cercetătorii Google a început în decembrie 2025, printr-un atac de tip „email bombing”. Organizațiile vizate au fost bombardate cu un volum foarte mare de mesaje, suficient cât să creeze confuzie, frustrare și nevoia aparentă de intervenție tehnică. În acel moment, atacatorii intrau în scenă prin Microsoft Teams.

O persoană care se dădea drept membru al help desk-ului contacta victima și pretindea că poate rezolva problema. Sub pretextul instalării unui patch local care ar opri valul de e-mailuri, utilizatorul era convins să acceseze un link. Pagina deschisă imita un instrument numit „Mailbox Repair Utility” și includea un buton de tip „Health Check”, menit să inspire încredere.

Vezi și:

7 semne că un anunț de cazare de pe Booking ar putea fi fals. Ce trebuie să verifici înainte să plătești

După apăsarea butonului, victima era rugată să se autentifice cu adresa de e-mail și parola. Aici apare una dintre cele mai perfide tehnici folosite în atac: pagina respingea primele două încercări de autentificare, spunând că parola este greșită. În realitate, atacatorii capturau parola de mai multe ori, reducând riscul unei greșeli de tastare și întărind iluzia că sistemul este legitim.

După această etapă, pagina simula o verificare a integrității căsuței de e-mail. În timp ce utilizatorul aștepta mesajul de finalizare, datele de autentificare și metadatele erau trimise către infrastructura controlată de atacatori, iar fișierele malițioase continuau să fie descărcate pe dispozitiv.

Ce este malware-ul Snow și de ce este periculos

Atacul nu se oprește la furtul parolei. Potrivit Google, prima etapă descarcă un binar AutoHotKey și un script care pornește imediat recunoașterea sistemului. Ulterior, este instalată o extensie malițioasă pentru browsere Chromium, numită SnowBelt. Aceasta nu este disponibilă în Chrome Web Store, ci ajunge pe dispozitiv exclusiv prin păcălirea utilizatorului.

Vezi și:

Microsoft pregătește gadgeturile care nu mai au nevoie de aplicații. Project Solara aduce agenții AI direct pe dispozitive

Windows va cere mai multe restarturi din iunie: schimbarea Microsoft pe care nu trebuie să o ignori

SnowBelt funcționează ca un backdoor bazat pe JavaScript și le oferă atacatorilor un punct inițial de acces. Extensia poate apărea sub nume aparent tehnice și inofensive, precum „MS Heartbeat” sau „System Heartbeat”, tocmai pentru a nu ridica suspiciuni. Odată instalată, ea ajută la menținerea persistenței în browser și la descărcarea altor componente.

A doua piesă importantă este SnowGlaze, un instrument Python care creează un tunel WebSocket autentificat între rețeaua victimei și infrastructura de comandă și control a atacatorilor. Traficul este mascat în obiecte JSON și codificat Base64, ceea ce îl poate face să semene cu trafic web obișnuit și criptat.

A treia componentă, SnowBasin, este un backdoor care oferă control interactiv asupra sistemului infectat. Acesta poate funcționa ca un server HTTP local, de obicei pe portul 8000, și permite executarea de comenzi, capturarea de screenshoturi și pregătirea datelor pentru exfiltrare. Practic, atacatorii pot trece de la simplul furt de credențiale la control activ asupra mașinii compromise.

De ce schema este greu de detectat

Pericolul major vine din combinația dintre tehnici vechi și infrastructură modernă. Impersonarea personalului de suport tehnic nu este o idee nouă, dar folosirea Microsoft Teams o face mult mai credibilă în mediile corporate. Angajații sunt obișnuiți să primească mesaje interne, invitații și solicitări urgente prin platforme de colaborare.

În plus, atacatorii se folosesc de servicii cloud legitime și de instrumente care pot părea normale la prima vedere. Asta complică munca echipelor de securitate, pentru că nu toate semnalele sunt evident malițioase. Un link, o extensie de browser sau o conexiune WebSocket pot părea banale dacă nu sunt analizate în context.

Google spune că această campanie nu pare să aibă legături directe cu alte grupări cunoscute pentru atacuri similare, precum ShinyHunters sau Scattered Lapsus$ Hunters. Totuși, modelul este același: atacatorii nu se bazează doar pe vulnerabilități tehnice, ci pe presiune psihologică, urgență falsă și încrederea utilizatorilor în instrumentele folosite zilnic la serviciu.

Pentru companii, lecția este clară: mesajele de suport tehnic primite pe Teams trebuie tratate cu prudență, mai ales când cer instalarea unor fișiere, autentificarea pe pagini externe sau introducerea repetată a parolei. Într-un atac modern, cel mai convingător malware poate începe cu un simplu mesaj care pare trimis de la help desk.

Volan care stă ușor strâmb după schimbul de anvelope: geometrie, montaj sau subcadru, ce verifici întâi