- O Google identificou uma nova campanha maliciosa, em andamento desde meados de dezembro de 2025, atribuída ao grupo UNC6692 pela Mandiant, parte do Grupo de Inteligência de Ameaças do Google.
- A tática usa *email bombing* para lotar a caixa de entrada com mensagens inúteis, criando senso de urgência para levar a vítima a abrir uma página maliciosa via Microsoft Teams.
- Ao clicar no link, a vítima é levada a uma página disfarçada de ferramenta de reparo que baixa automaticamente um binário AutoHotKey e um script, levando à instalação do SNOWBELT, uma extensão para navegadores baseados em Chromium.
- O malware adiciona um atalho do AutoHotKey na pasta de inicialização do Windows para manter a persistência, além de instalar duas tarefas agendadas que movem o navegador para executar o SNOWBELT e encerra processos do Edge para facilitar a execução.
- O SNOWBELT baixa arquivos adicionais, incluindo os scripts SNOWGLAZE e SNOWBASIN; o SNOWGLAZE conecta os servidores dos atacantes ao dispositivo, enquanto o SNOWBASIN funciona como backdoor para comandos remotos, captura de tela e preparação de exfiltração, com reconhecimento de outros ativos na rede.
O Google identificou uma nova campanha de malware que invade caixas de entrada com milhares de e-mails inúteis para induzir a vítima a abrir uma página maliciosa. A tática envolve se passar pelo suporte de TI e oferecer uma solução que instala o malware no dispositivo.
O grupo identificado é o UNC6692, segundo a Mandiant, unidade do Google dedicada a Ameaças. A campanha está em curso desde pelo menos meados de dezembro de 2025, e utiliza a técnica de email bombing para criar sensação de urgência, seguida de uma mensagem pelo Microsoft Teams com a falsa solução.
O ataque funciona assim: a mensagem no Teams contém link para uma página disfarçada de ferramenta de reparo. Ao abrir, o navegador baixa um binário AutoHotKey e um script, que executa automaticamente e instala a extensão SNOWBELT no navegador Chromium. Em seguida, são criadas tarefas agendadas para manter o malware ativo e persistente.
Com SNOWBELT, o grupo baixa componentes adicionais, incluindo os scripts SNOWGLAZE e SNOWBASIN, que funcionam como backdoors e facilitam acesso remoto. O conjunto permite enviar comandos, capturar telas e preparar exfiltração de dados, além de mapear outros dispositivos na rede vulnerável.
O Google não informou o perfil típico das vítimas, mas destacou a versatilidade da campanha, combinando engenharia social, malwares sob medida e extensões de navegador para aumentar as chances de sucesso e de manter o acesso.
Entre na conversa da comunidade