# UNC6692 despliega la suite de malware 'Snow' a través de Microsoft Teams  Un grupo de amenazas rastreado como UNC6692 está utilizando ingeniería social para desplegar una nueva suite de malware personalizada llamada “Snow”, que incluye una extensión de navegador, un túnel y una puerta trasera (backdoor). Su objetivo final es robar datos sensibles tras lograr un compromiso profundo de la red mediante el robo de credenciales y la toma de control del dominio. Según los investigadores de **Google’s Mandiant**, los atacantes emplean tácticas de "bombardeo de correos electrónicos" para crear un sentido de urgencia, y luego contactan a los objetivos a través de **Microsoft Teams**, haciéndose pasar por agentes de soporte de TI. Esta táctica se está volviendo cada vez más popular entre los ciberdelincuentes, como se destacó en un informe reciente de **Microsoft**, donde los atacantes engañan a los usuarios para que otorguen acceso remoto a través de Quick Assist u otras herramientas de acceso remoto. ## Componentes del malware 'Snow' En la campaña de UNC6692, se solicita a las víctimas que hagan clic en un enlace para instalar un supuesto parche diseñado para bloquear el spam de correo electrónico. En su lugar, reciben un dropper que ejecuta scripts de **AutoHotkey**, cargando 'SnowBelt', una extensión maliciosa de Chrome.  La extensión opera dentro de una instancia de **Microsoft Edge** sin interfaz gráfica (headless), permaneciendo desapercibida para el usuario. También se crean tareas programadas y un acceso directo en la carpeta de inicio para garantizar la persistencia. 'SnowBelt' sirve como mecanismo de persistencia y como relé para los comandos enviados por el atacante a una puerta trasera (backdoor) basada en Python llamada 'SnowBasin'. Los comandos se entregan a través de un túnel **WebSocket** establecido por una herramienta de túnel llamada 'SnowGlaze', enmascarando las comunicaciones entre el host y la infraestructura de comando y control (C2). 'SnowGlaze' también facilita operaciones de proxy **SOCKS**, permitiendo que el tráfico TCP arbitrario se enrute a través del host infectado. 'SnowBasin' ejecuta un servidor **HTTP** local y ejecuta comandos de CMD o **PowerShell** proporcionados por el atacante en el sistema infectado, retransmitiendo los resultados al operador a través del mismo canal. El malware soporta acceso remoto a la shell, exfiltración de datos, descarga de archivos, captura de capturas de pantalla y operaciones básicas de gestión de archivos. El operador también puede emitir un comando de autoterminación para apagar la puerta trasera (backdoor) en el host.  ## Actividades Post-Compromiso **Mandiant** ha observado que, después del compromiso, los atacantes realizan reconocimiento interno, escaneando servicios como **SMB** y **RDP** para identificar objetivos adicionales, y luego se mueven lateralmente dentro de la red. Los atacantes vuelcan la memoria de **LSASS** para extraer material de credenciales y utilizan técnicas de pass-the-hash para autenticarse en hosts adicionales, obteniendo eventualmente acceso a los controladores de dominio. En la etapa final del ataque, el actor de amenazas despliega **FTK Imager** para extraer la base de datos de **Active Directory**, junto con las colmenas de registro SYSTEM, SAM y SECURITY. Estos archivos se exfiltran de la red utilizando **LimeWire**, lo que otorga a los atacantes acceso a datos de credenciales sensibles en todo el dominio.  El informe proporciona extensos indicadores de compromiso (IoCs) y también reglas **YARA** para ayudar a detectar el conjunto de herramientas "Snow".