){kind=link}
O Google descobriu uma nova campanha maliciosa que lota a caixa de entrada das vítimas com e-mails inúteis. Os cibercriminosos aproveitam a confusão para se passar pelo suporte de TI e oferecer uma solução que instala malware no dispositivo.
O grupo foi identificado como UNC6692 pela Mandiant, parte do Grupo de Inteligência de Ameaças do Google (GTIG) e a campanha está em andamento pelo menos desde meados de dezembro de 2025. A estratégia consiste em disparar milhares de mensagens para o e-mail da vítima (e-mail bombing), criando um senso de urgência e distração. Em seguida, os hackers enviam uma mensagem pelo Microsoft Teams oferecendo uma solução imediata para o problema — que, na verdade, é uma armadilha.
smart_display
Nossos vídeos em destaque
Como funciona o ataque?
- A mensagem enviada pelo Microsoft Teams contém um link para uma página maliciosa disfarçada de ferramenta de reparos (Mailbox Repair Utility). Ao acessá-la, o navegador baixa automaticamente um binário AutoHotKey e um script de mesmo nome;
- O título idêntico no mesmo diretório faz com que o script AutoHotKey seja executado de forma automática, sem nenhum comando adicional. O script então baixa o SNOWBELT, uma extensão para navegadores baseados no Chromium;
- Para garantir a persistência do SNOWBELT, é adicionado um atalho para o AutoHotKey na pasta de inicialização do Windows (Startup), que verifica se o malware está ativo e se a tarefa agendada está presente;
- Duas tarefas agendadas são instaladas: a primeira inicia uma instância invisível do Microsoft Edge carregando o SNOWBELT; a segunda identifica e encerra processos do Edge que não têm o CoreUIComponents.dll carregado — etapa necessária para “limpar” os processos que executam o malware;
- O SNOWBELT é usado para baixar arquivos adicionais, incluindo os scripts SNOWGLAZE e SNOWBASIN, scripts AutoHotKey e um arquivo ZIP com um executável em Python e outros componentes.
Com o SNOWGLAZE, o grupo estabelece conexão entre seus servidores e o dispositivo da vítima. Já o SNOWBASIN funciona como um backdoor que permite a execução remota de comandos via PowerShell ou Prompt de Comando, realiza capturas de tela e prepara arquivos para exfiltração. Por fim, é executada uma etapa de reconhecimento para identificar outros computadores e servidores vulneráveis na rede.
Google não identificou os alvos mais comuns
O Google não mencionou o perfil dos alvos da campanha, mas destacou que o UNC6692 demonstra técnicas versáteis, combinando engenharia social, malware personalizado e extensões de navegador para obter a confiança da vítima e garantir persistência no sistema.
Quer ficar por dentro das novidades do mundo da tecnologia? Acesse o TecMundo e acompanhe as últimas notícias sobre segurança digital, hackers e muito mais.