{"id":566461,"date":"2026-04-27T15:30:00","date_gmt":"2026-04-27T18:30:00","guid":{"rendered":"https:\/\/www.portaltela.com\/noticias\/2026\/04\/27\/criminosos-usam-e-mail-bombing-para-distribuir-malware-pelo-teams\/"},"modified":"2026-04-27T15:30:00","modified_gmt":"2026-04-27T18:30:00","slug":"criminosos-usam-e-mail-bombing-para-distribuir-malware-pelo-teams","status":"publish","type":"post","link":"https:\/\/www.portaltela.com\/noticias\/ciencia\/2026\/04\/27\/criminosos-usam-e-mail-bombing-para-distribuir-malware-pelo-teams\/","title":{"rendered":"Criminosos usam e-mail bombing para distribuir malware pelo Teams"},"content":{"rendered":"<p>O Google identificou uma nova campanha de malware que invade caixas de entrada com milhares de e-mails in\u00fateis para induzir a v\u00edtima a abrir uma p\u00e1gina maliciosa. A t\u00e1tica envolve se passar pelo suporte de TI e oferecer uma solu\u00e7\u00e3o que instala o malware no dispositivo.<\/p>\n<p>O grupo identificado \u00e9 o UNC6692, segundo a Mandiant, unidade do Google dedicada a Amea\u00e7as. A campanha est\u00e1 em curso desde pelo menos meados de dezembro de 2025, e utiliza a t\u00e9cnica de email bombing para criar sensa\u00e7\u00e3o de urg\u00eancia, seguida de uma mensagem pelo Microsoft Teams com a falsa solu\u00e7\u00e3o.<\/p>\n<p>O ataque funciona assim: a mensagem no Teams cont\u00e9m link para uma p\u00e1gina disfar\u00e7ada de ferramenta de reparo. Ao abrir, o navegador baixa um bin\u00e1rio AutoHotKey e um script, que executa automaticamente e instala a extens\u00e3o SNOWBELT no navegador Chromium. Em seguida, s\u00e3o criadas tarefas agendadas para manter o malware ativo e persistente.<\/p>\n<p>Com SNOWBELT, o grupo baixa componentes adicionais, incluindo os scripts SNOWGLAZE e SNOWBASIN, que funcionam como backdoors e facilitam acesso remoto. O conjunto permite enviar comandos, capturar telas e preparar exfiltra\u00e7\u00e3o de dados, al\u00e9m de mapear outros dispositivos na rede vulner\u00e1vel.<\/p>\n<p>O Google n\u00e3o informou o perfil t\u00edpico das v\u00edtimas, mas destacou a versatilidade da campanha, combinando engenharia social, malwares sob medida e extens\u00f5es de navegador para aumentar as chances de sucesso e de manter o acesso.<\/p>\n","protected":false},"excerpt":{"rendered":"<ul>\n<li>O Google identificou uma nova campanha maliciosa, em andamento desde meados de dezembro de 2025, atribu\u00edda ao grupo UNC6692 pela Mandiant, parte do Grupo de Intelig\u00eancia de Amea\u00e7as do Google.<\/li>\n<li>A t\u00e1tica usa *email bombing* para lotar a caixa de entrada com mensagens in\u00fateis, criando senso de urg\u00eancia para levar a v\u00edtima a abrir uma p\u00e1gina maliciosa via Microsoft Teams.<\/li>\n<li>Ao clicar no link, a v\u00edtima \u00e9 levada a uma p\u00e1gina disfar\u00e7ada de ferramenta de reparo que baixa automaticamente um bin\u00e1rio AutoHotKey e um script, levando \u00e0 instala\u00e7\u00e3o do SNOWBELT, uma extens\u00e3o para navegadores baseados em Chromium.<\/li>\n<li>O malware adiciona um atalho do AutoHotKey na pasta de inicializa\u00e7\u00e3o do Windows para manter a persist\u00eancia, al\u00e9m de instalar duas tarefas agendadas que movem o navegador para executar o SNOWBELT e encerra processos do Edge para facilitar a execu\u00e7\u00e3o.<\/li>\n<li>O SNOWBELT baixa arquivos adicionais, incluindo os scripts SNOWGLAZE e SNOWBASIN; o SNOWGLAZE conecta os servidores dos atacantes ao dispositivo, enquanto o SNOWBASIN funciona como backdoor para comandos remotos, captura de tela e prepara\u00e7\u00e3o de exfiltra\u00e7\u00e3o, com reconhecimento de outros ativos na rede.<\/li>\n<\/ul>\n","protected":false},"author":15,"featured_media":566517,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"summary":"Campanha UNC6692 usa e-mail bombing para induzir urg\u00eancia no Teams e instalar malware com backdoor Snowbelt","footnotes":""},"categories":[296,1],"tags":[104,124,86,101,95,189],"class_list":["post-566461","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciencia","category-noticias","tag-apps","tag-comportamento","tag-internet","tag-pessoas","tag-redes-sociais","tag-tecnologia"],"_links":{"self":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts\/566461","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/comments?post=566461"}],"version-history":[{"count":0,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts\/566461\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/media\/566517"}],"wp:attachment":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/media?parent=566461"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/categories?post=566461"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/tags?post=566461"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}