A campanha inunda a caixa de entrada da vítima com uma avalanche de e-mails para criar um sentimento de urgência e persuadir o alvo a acessar uma página maliciosa.
O Google descobriu uma nova campanha maliciosa que enche as caixas de entrada das vítimas com e-mails irrelevantes. Os cibercriminosos aproveitam a desordem para se passar pelo suporte de TI e oferecer uma “solução” que, na verdade, instala malware no dispositivo da vítima.
O grupo identificado como UNC6692 pela Mandiant, parte do Grupo de Inteligência de Ameaças do Google (GTIG), está em operação desde pelo menos dezembro de 2025. A estratégia consiste em disparar uma quantidade massiva de mensagens para o e-mail da vítima (denominada e-mail bombing), criando confusão e urgência. Em seguida, os hackers se utilizam do Microsoft Teams para enviar uma mensagem com uma “solução imediata” para o problema — que na verdade é uma armadilha.
- Leia mais: Udemy sofre vazamento e expõe 1,4 milhão de usuários
Como funciona o ataque?
- A mensagem enviada pelo Microsoft Teams contém um link para uma página maliciosa disfarçada como uma ferramenta de reparo (Mailbox Repair Utility). Ao acessá-la, o navegador baixa automaticamente um binário AutoHotKey e um script de mesmo nome;
- O título idêntico no mesmo diretório faz com que o script AutoHotKey seja executado automaticamente, sem nenhum comando adicional. O script, então, baixa o SNOWBELT, uma extensão para navegadores baseados no Chromium;
- Para garantir a persistência do SNOWBELT, é criado um atalho para o AutoHotKey na pasta de inicialização do Windows (Startup), que verifica se o malware está ativo e se a tarefa agendada está presente;
- Duas tarefas agendadas são instaladas: a primeira inicia uma instância invisível do Microsoft Edge carregando o SNOWBELT; a segunda encerra processos do Edge que não têm o CoreUIComponents.dll carregado — etapa necessária para “limpar” os processos que estão rodando o malware;
- O SNOWBELT é usado para baixar arquivos adicionais, incluindo os scripts SNOWGLAZE e SNOWBASIN, scripts AutoHotKey e um arquivo ZIP contendo um executável em Python e outros componentes.
Com o SNOWGLAZE, o grupo estabelece uma conexão entre seus servidores e o dispositivo da vítima. Já o SNOWBASIN atua como um backdoor, permitindo a execução remota de comandos via PowerShell ou Prompt de Comando, captura de tela e preparação de arquivos para exfiltração. Em seguida, uma etapa de reconhecimento é realizada para identificar outros computadores e servidores vulneráveis na rede.
Google não identificou os alvos mais comuns
O Google não detalhou o perfil dos alvos da campanha, mas destacou que o UNC6692 utiliza técnicas versáteis, combinando engenharia social, malware personalizado e extensões de navegador para conquistar a confiança da vítima e garantir persistência no sistema.
Após ataque à NPM, criminosos distribuem versão maliciosa do Bitwarden para roubar dados e credenciais
- Confira: Influencer é investigado por fazer deepfakes sensualizando mulheres em igrejas
Quer se manter atualizado sobre as novidades do mundo da tecnologia? Acesse o TecMania e confira as últimas notícias sobre segurança digital, hackers e muito mais.