Chat Messages: Furto Credenziali dalle Conversazioni (T1552.008)

Le conversazioni aziendali nascondono spesso segreti in bella vista. Per simulare questa tecnica, inizia con ricerche mirate sui client locali.

Su Windows, Slack memorizza i messaggi in SQLite:

*sqlite3 "%APPDATA%\Slack\IndexedDB\https_app.slack.com_0.indexeddb.leveldb"*
*SELECT * FROM messages WHERE text LIKE '%password%' OR text LIKE '%token%' OR text LIKE '%key%';*

Teams conserva cache interessanti nel profilo utente. PowerShell può estrarre rapidamente pattern sospetti:

*Get-ChildItem -Path "$env:APPDATA\Microsoft\Teams" -Recurse -Include *.json,*.log | Select-String -Pattern "password|token|bearer|api[_-]?key" -Context 2*

Per Slack via API, configura uno Slack Workflow automatizzato che cerca credenziali. Il bot può scansionare retrospettivamente tutti i canali accessibili cercando regex come (password|pwd|pass)\s*[:=]\s*\S+ o pattern JWT eyJ[A-Za-z0-9_-]+\.[A-Za-z0-9_-]+\.[A-Za-z0-9_-]+.

Su macOS, i database di Messages.app contengono conversazioni iMessage aziendali:

*sqlite3 ~/Library/Messages/chat.db "SELECT text FROM message WHERE text LIKE '%@company.com%' AND (text LIKE '%password%' OR text LIKE '%vpn%')"*

L'approccio più sofisticato sfrutta le integrazioni OAuth. Registra un'app Slack malevola che richiede scope channels:history e groups:history. Una volta autorizzata, scarica bulk di conversazioni via:

*curl -X GET "https://slack.com/api/conversations.history?channel=C1234567890&limit=1000" -H "Authorization: Bearer xoxb-your-token"*

Linux presenta opportunità uniche con tool CLI come slack-term che salvano token in plaintext. Cerca configurazioni esposte:

*find /home -name ".slack*" -o -name "*slack*conf*" 2>/dev/null | xargs grep -E "token|cookie|session"*

La detection richiede un approccio multilivello che bilanci efficacia e rumore. Microsoft 365 Unified Audit Logs catturano eventi critici quando configurati correttamente.

Implementa regex detection sui contenuti dei messaggi. Pattern efficaci includono variazioni di password\s*[:=]\s*['""]?\S+['""]? e formati specifici come Bearer\s+[A-Za-z0-9\-._~+/]+. Questi pattern vanno applicati a MessageCreated e MessageUpdated events.

Monitora comportamenti anomali di bulk export. Query Splunk per Office 365:

index=m365 Operation="MessageCreated" | regex Content="(?i)(api[_-]?key|password|token)\s*[:=]" | stats count by UserId | where count > 50

Per Slack Enterprise Grid, abilita l'audit API e traccia chiamate massive a conversations.history. Eventi sospetti includono:

• Bot non autorizzati che accedono a canali privati
• Export di conversazioni da account compromessi
• Pattern di accesso temporalmente anomali (orari non lavorativi)

Correla eventi cross-platform. Se un utente cerca "password" in Teams, Outlook e SharePoint in rapida successione, potrebbe indicare credential hunting sistematico.

Implementa threshold dinamici basati sul ruolo. Developer che condividono snippet con "api_key" sono normali, ma se lo fa HR o Finance merita investigazione immediata. Usa machine learning per profilare comportamenti baseline per reparto.

I falsi positivi derivano principalmente da documentazione tecnica e password di esempio. Whitelist pattern comuni come "password123", "example_key" e domini di documentazione. Mantieni una biblioteca di regex esclusioni aggiornata mensilmente.

Gli artefatti delle comunicazioni persistono in luoghi inaspettati, permettendo ricostruzioni dettagliate dell'attività avversaria.

Teams memorizza cache JSON ricche in %APPDATA%\Microsoft\Teams\Cache. I file *_messages.json contengono conversazioni con timestamp precisi. PowerShell può estrarre timeline:

*Get-ChildItem -Path "$env:APPDATA\Microsoft\Teams\Cache" -Filter "*messages*" | ForEach {(Get-Content $_.FullName | ConvertFrom-Json).messages} | Select timestamp,content | Sort timestamp*

Slack su Windows lascia tracce in molteplici location. Il database IndexedDB contiene messaggi anche dopo "cancellazione". Chrome DevTools permette ispezione diretta del localStorage dove token e session persistono.

macOS presenta Unified Logs ricchi per applicazioni di messaggistica. Query per ricostruire accessi:

*log show --predicate 'subsystem == "com.tinyspeck.slackmacgap"' --info --last 7d*

L'analisi di memory dump rivela credenziali in transito. Strings analysis su dump di processi Slack/Teams espone token OAuth e conversazioni non ancora scritte su disco. Volatility3 con plugin personalizzati può estrarre strutture dati specifiche delle app.

Browser forensics è cruciale per web-app. Chrome/Edge salvano form data, inclusi campi password autofill. Examine %LocalAppData%\Google\Chrome\User Data\Default\Web Data SQLite database, tabella autofill.

La correlazione temporale con altri artefatti (registry MRU, Prefetch, ShimCache) permette di ricostruire l'esatta sequenza: apertura app → ricerca credenziali → copia negli appunti → utilizzo su sistemi target.

Per incident response, prioritizza l'acquisizione di app data prima del wipe. Molte organizzazioni cancellano chat dopo 90 giorni, ma cache locali persistono indefinitamente se non pulite manualmente.

LAPSUS$ rappresenta l'evoluzione del credential hunting moderno. Il gruppo brasiliano-britannico ha perfezionato l'arte di sfruttare la negligenza umana nelle comunicazioni digitali, dimostrando che non serve sofisticazione tecnica estrema quando i dipendenti condividono liberamente segreti aziendali.

Il modus operandi di LAPSUS$ prevede l'infiltrazione iniziale attraverso social engineering o insider threat, seguita da sistematica ricerca in Slack, Teams, JIRA e Confluence. Cercano specificamente:

• Credenziali di amministratori cloud condivise in canali IT
• API key di servizi critici postate in thread di troubleshooting
• Password di account privilegiati in wiki aziendali

La geografia degli attacchi mostra pattern interessanti. LAPSUS$ colpisce globalmente ma con focus su aziende tech anglofone dove Slack domina. Gruppi dell'Est Europa preferiscono target con Microsoft Teams, sfruttando familiarità con l'ecosistema Office.

L'overlap negli strumenti è minimo - questa tecnica richiede principalmente accesso e pazienza piuttosto che tool specializzati. Tuttavia, osserviamo crescente automazione attraverso bot malevoli e script di parsing personalizzati.

I trend emergenti includono:

• Targeting di nuove piattaforme (Discord aziendale, Notion, Monday.com)
• Ricerca in repository di codice integrati (GitHub comments, GitLab issues)
• Focus su credenziali di automazione CI/CD condivise nei messaggi

La previsione per i prossimi 12 mesi vede l'espansione verso piattaforme di project management dove la condivisione di credenziali è endemica. Asana, ClickUp e Linear diventeranno target primari man mano che l'adozione enterprise cresce.

Framework MITRE ATT&CK T1552.008. Intelligence su campagne LAPSUS$ derivata da analisi Microsoft e Unit42. Best practice di detection basate su implementazioni Fortune 500. Metriche di rischio da Ponemon Institute "Cost of Credential Exposure 2023".