💻 Jorge Rossiter Tech News

Notícias de tecnologia atualizadas automaticamente

Criminosos fazem 'e-mail bombing' para instalar malware via Microsoft Teams

📅 27/04/2026 ⏱️ 18:30
📡 Fonte: Tecmundo 🏷️ Segurança 🤖 Auto
Criminosos fazem 'e-mail bombing' para instalar malware via Microsoft Teams

📸 Créditos da imagem: reprodução / Tecmundo

O Google descobriu uma nova campanha maliciosa que lota a caixa de entrada das vítimas com e-mails inúteis. Os cibercriminosos aproveitam a confusão para se passar pelo suporte de TI e oferecer uma solução que instala malware no dispositivo. O grupo foi identificado como UNC6692 pela Mandiant, parte do Grupo de Inteligência de Ameaças do Google (GTIG) e a campanha está em andamento pelo menos desde meados de dezembro de 2025. A estratégia consiste em disparar milhares de mensagens para o e-mail da vítima (e-mail bombing), criando um senso de urgência e distração.

Em seguida, os hackers enviam uma mensagem pelo Microsoft Teams oferecendo uma solução imediata para o problema — que, na verdade, é uma armadilha. Repair Utility). Ao acessá-la, o navegador baixa automaticamente um binário AutoHotKey e um script de mesmo nome; O título idêntico no mesmo diretório faz com que o script AutoHotKey seja executado de forma automática, sem nenhum comando adicional.

O script então baixa o SNOWBELT, uma extensão para navegadores baseados no Chromium; Para garantir a persistência do SNOWBELT, é adicionado um atalho para o AutoHotKey na pasta de inicialização do Windows (Startup), que verifica se o malware está ativo e se a tarefa agendada está presente; Duas tarefas agendadas são instaladas: a primeira inicia uma instância invisível do Microsoft Edge carregando o SNOWBELT; a segunda identifica e encerra processos do Edge que não têm o CoreUIComponents. dll carregado — etapa necessária para “limpar” os processos que executam o malware; O SNOWBELT é usado para baixar arquivos adicionais, incluindo os scripts SNOWGLAZE e SNOWBASIN, scripts AutoHotKey e um arquivo ZIP com um executável em Python e outros componentes. Com o SNOWGLAZE, o grupo estabelece conexão entre seus servidores e o dispositivo da vítima. Já o SNOWBASIN funciona como um backdoor que permite a execução remota de comandos via PowerShell ou Prompt de Comando, realiza capturas de tela e prepara arquivos para exfiltração.

📰 Leia a notícia completa em: Tecmundo »

⚖️ Direitos Autorais: Este site utiliza conteúdo agregado automaticamente de fontes públicas. Todas as imagens possuem crédito e fonte indicados conforme exigido pela legislação brasileira de direitos autorais (Lei 9.610/98).