UNC6692 Lance une Campagne de Malware Sophistiquée Snow
Les chercheurs en sécurité ont découvert une nouvelle campagne de menace le 25 avril 2026, où le groupe UNC6692 déploie une suite de logiciels malveillants personnalisée appelée Snow à travers des stratagèmes d'ingénierie sociale élaborés. Les attaquants se font passer pour du personnel d'assistance informatique pour tromper les employés et les inciter à installer des logiciels malveillants qui établissent un accès persistant aux réseaux d'entreprise.
La suite de logiciels malveillants Snow représente une évolution significative dans les attaques ciblées, combinant trois composants distincts qui travaillent ensemble pour maintenir un accès à long terme. Le premier composant est une extension de navigateur malveillante qui capture les identifiants et les jetons de session des applications web populaires. Le deuxième élément fonctionne comme un tunnel réseau, créant des canaux chiffrés pour les communications de commande et de contrôle tout en contournant les contrôles de sécurité réseau traditionnels.
Le troisième et le plus préoccupant des composants fonctionne comme une porte dérobée sophistiquée qui maintient la persistance à travers les redémarrages système et les mises à jour de sécurité. Cette porte dérobée communique avec l'infrastructure des attaquants via des services cloud légitimes, rendant la détection extrêmement difficile pour les outils de sécurité traditionnels. The Hacker News rapporte que la campagne est active depuis début 2026, avec des victimes dans les secteurs des services financiers, de la santé et de la technologie.
Les tactiques d'ingénierie sociale de l'UNC6692 impliquent une reconnaissance approfondie des organisations cibles. Les attaquants recherchent les structures d'entreprise, les hiérarchies des employés et les procédures informatiques internes avant d'initier le contact. Ils font souvent référence à des communications informatiques légitimes récentes ou à des projets en cours pour établir leur crédibilité. Le groupe a démontré une compétence particulière dans l'imitation des protocoles d'assistance authentiques, y compris les systèmes de numérotation de tickets appropriés et les procédures d'escalade que les employés attendent des interactions de support informatique authentiques.
Les Réseaux d'Entreprise Face à une Exposition Généralisée au Malware Snow
Des organisations à travers l'Amérique du Nord et l'Europe ont été victimes de la campagne de malware Snow de l'UNC6692, avec une concentration particulière dans les secteurs traitant des données financières et de santé sensibles. Le groupe de menace cible spécifiquement les entreprises avec des effectifs distribués où les appels de support informatique à distance sont courants et moins susceptibles de susciter une suspicion immédiate parmi les employés.
Le malware affecte les systèmes exécutant Windows 10 et Windows 11 sur toutes les principales plateformes de navigateurs, y compris Chrome, Firefox et Edge. Le composant d'extension de navigateur nécessite des privilèges administratifs pour l'installation, que les attaquants obtiennent grâce à leurs scripts d'ingénierie sociale qui convainquent les utilisateurs d'élever temporairement les permissions pour des tâches de maintenance informatique supposées. Une fois installée, l'extension persiste à travers les mises à jour du navigateur et maintient l'accès même lorsque les utilisateurs passent d'un navigateur à un autre sur le même système.
Les petites et moyennes entreprises semblent particulièrement vulnérables en raison d'une formation limitée à la sensibilisation à la sécurité et de capacités de réponse aux incidents moins sophistiquées. Cependant, plusieurs entreprises du Fortune 500 ont également signalé des infiltrations réussies, indiquant que la taille de l'organisation à elle seule ne protège pas contre ces attaques ciblées d'ingénierie sociale. Le composant de tunnel réseau cible spécifiquement les organisations utilisant des suites de productivité basées sur le cloud, car il peut intercepter et manipuler les communications avec des services comme Microsoft 365, Google Workspace et les plateformes Salesforce.
Analyse Technique du Malware Snow et Stratégies d'Atténuation
La suite de logiciels malveillants Snow utilise des techniques d'évasion avancées qui rendent la détection traditionnelle basée sur les signatures inefficace. Le composant d'extension de navigateur utilise des API d'extension web légitimes pour éviter de déclencher des avertissements de sécurité du navigateur, tandis que le tunnel dissimule son trafic comme des communications HTTPS de routine avec des réseaux de diffusion de contenu populaires. Les équipes de sécurité devraient mettre en œuvre une surveillance comportementale capable de détecter des schémas inhabituels dans les installations d'extensions de navigateur et les anomalies de trafic réseau.
Les organisations peuvent se protéger contre les attaques de l'UNC6692 en mettant en œuvre des procédures de vérification strictes pour toutes les demandes de support informatique. Les employés devraient être formés pour vérifier de manière indépendante tout appel de support informatique non sollicité via des canaux internes établis avant de fournir un accès système ou d'installer des logiciels. L'analyse de Hackread suggère de mettre en œuvre des systèmes de vérification par rappel où les employés raccrochent et rappellent via les numéros de support informatique officiels répertoriés dans les annuaires de l'entreprise.
L'atténuation technique nécessite le déploiement de solutions de détection et de réponse aux points de terminaison capables de surveiller les installations d'extensions de navigateur et la création de tunnels réseau. Les équipes de sécurité devraient configurer des alertes pour toute extension de navigateur installée en dehors des catalogues de logiciels d'entreprise approuvés. La surveillance du réseau devrait se concentrer sur la détection des tunnels chiffrés vers l'infrastructure cloud qui ne correspondent pas aux schémas commerciaux normaux. La surveillance du registre peut aider à identifier le composant de porte dérobée, qui crée des mécanismes de persistance spécifiques dans les emplacements de démarrage de Windows et les tâches planifiées.
Les actions de réponse immédiates incluent l'audit de toutes les extensions de navigateur récemment installées dans l'organisation et l'examen des journaux réseau pour les connexions chiffrées suspectes aux services cloud. Les organisations devraient également mettre en œuvre une liste blanche d'applications pour empêcher l'installation de logiciels non autorisés et exiger une authentification multi-facteurs pour toutes les actions administratives. La formation régulière à la sensibilisation à la sécurité devrait aborder spécifiquement les tactiques d'ingénierie sociale utilisées par l'UNC6692, y compris les scénarios où les attaquants se réfèrent à des informations légitimes de l'entreprise pour établir leur crédibilité.
