Um novo grupo de ameaças, identificado como UNC6692, está explorando técnicas sofisticadas de engenharia social para comprometer ambientes corporativos, utilizando ferramentas confiáveis como o Microsoft Teams como porta de entrada. A campanha, analisada pela Mandiant, evidencia a evolução de ataques que misturam manipulação psicológica, serviços legítimos e malwares modulares avançados.
A ofensiva começa com um grande volume de e-mails enviados à vítima — prática conhecida como email bombing — com o objetivo de gerar confusão e senso de urgência. Em seguida, o atacante entra em contato via Teams, fingindo ser um profissional de suporte de TI e oferecendo ajuda para resolver o suposto problema. Essa abordagem tem alta taxa de sucesso, especialmente entre executivos e profissionais seniores, que concentraram grande parte dos alvos recentes.
Durante a conversa, a vítima é induzida a acessar um link malicioso que leva a uma página falsa chamada “Mailbox Repair and Sync Utility”. A partir desse ponto, um script em AutoHotkey é baixado de servidores hospedados na Amazon Web Services e executado localmente, iniciando a primeira etapa da infecção ao mapear o ambiente e preparar a instalação do malware.
Um dos componentes mais avançados da operação é o SNOWBELT, uma extensão maliciosa baseada em Chromium instalada silenciosamente no navegador Microsoft Edge. Essa extensão atua como um backdoor em JavaScript, permitindo o recebimento de comandos remotos e a comunicação com outros módulos da ameaça.
O ecossistema SNOW é formado por diversos componentes que trabalham em conjunto. O SNOWGLAZE, desenvolvido em Python, estabelece um canal criptografado via WebSocket com servidores de comando e controle, garantindo comunicação persistente. Já o SNOWBASIN funciona como o principal backdoor, possibilitando execução remota de comandos, captura de tela, movimentação de arquivos e manutenção de acesso contínuo.
Após o acesso inicial, os invasores avançam para fases mais críticas da operação. Entre as atividades estão a varredura de portas estratégicas, movimentação lateral com ferramentas como PsExec e exploração de sessões RDP. Para elevar privilégios, os atacantes extraem credenciais da memória do sistema e utilizam técnicas como Pass-the-Hash.
Na etapa final, dados sensíveis são coletados com ferramentas como FTK Imager, incluindo informações do Active Directory. Esses dados são então exfiltrados utilizando soluções como Rclone, muitas vezes por meio da infraestrutura da Amazon Web Services, dificultando a identificação do tráfego malicioso.
Um dos aspectos mais críticos da campanha é justamente o uso de serviços legítimos de nuvem para hospedar arquivos e transferir dados, permitindo que as atividades maliciosas se misturem com operações normais. Além disso, o caso reforça uma tendência crescente: o uso de plataformas corporativas confiáveis como vetor de ataque, substituindo métodos tradicionais de phishing.
Especialistas recomendam que empresas reforcem controles sobre comunicações externas em ferramentas como o Teams, adotem processos formais de verificação para solicitações de suporte técnico e limitem o uso de scripts e ferramentas administrativas.
O episódio mostra que ameaças modernas vão além de falhas técnicas, explorando principalmente o comportamento humano e a confiança em ambientes digitais legítimos — tornando a prevenção cada vez mais complexa no cenário atual de cibersegurança.
