O grupo de ameaças conhecido como UNC6692 tem utilizado táticas de engenharia social para implantar uma nova suíte de malware chamada “Snow”, que inclui uma extensão de navegador, um tunneler e um backdoor. O objetivo principal é roubar dados sensíveis após comprometer profundamente a rede, utilizando técnicas de roubo de credenciais e tomada de domínio. Pesquisadores da Mandiant, da Google, relataram que os atacantes empregam táticas de “email bombing” para criar um senso de urgência, contatando as vítimas via Microsoft Teams, se passando por agentes de suporte de TI.
As vítimas são induzidas a clicar em um link que supostamente instala um patch para bloquear spam, mas na verdade recebem um dropper que executa scripts AutoHotkey, carregando a extensão maliciosa “SnowBelt”. Esta extensão opera em uma instância do Microsoft Edge sem interface, tornando a detecção difícil. O malware permite acesso remoto, exfiltração de dados, captura de tela e gerenciamento básico de arquivos. Após a infecção, os atacantes realizam reconhecimento interno, escaneando serviços como SMB e RDP para identificar novos alvos, e utilizam técnicas como “pass-the-hash” para autenticar em outros sistemas, culminando na extração de dados sensíveis do Active Directory. O relatório também fornece indicadores de comprometimento (IoCs) e regras YARA para ajudar na detecção da suíte “Snow”.
Fonte: https://www.bleepingcomputer.com/news/security/threat-actor-uses-microsoft-teams-to-deploy-new-snow-malware/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
25/04/2026 • Risco: ALTO
MALWARE
Grupo de ameaças UNC6692 utiliza engenharia social para roubo de dados
RESUMO EXECUTIVO
O grupo UNC6692 representa uma ameaça significativa, utilizando engenharia social e malware para comprometer redes e roubar dados sensíveis. As técnicas empregadas, como o uso de Microsoft Teams e email, são relevantes para muitas organizações no Brasil, exigindo atenção imediata dos CISOs para proteger suas infraestruturas.
💼 IMPACTO DE NEGÓCIO
Financeiro
Potenciais perdas financeiras significativas devido ao roubo de dados e interrupções operacionais.
Operacional
Roubo de dados sensíveis e comprometimento de redes corporativas.
Setores vulneráveis
['Setor financeiro', 'Setor de tecnologia', 'Setor de saúde']
📊 INDICADORES CHAVE
Uso de técnicas de 'email bombing' para criar urgência.
Indicador
Comprometimento de credenciais e extração de dados do Active Directory.
Contexto BR
Relatório inclui indicadores de comprometimento (IoCs) e regras YARA.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar logs de acesso e atividades suspeitas no Microsoft Teams e sistemas de email.
2
Implementar treinamento de conscientização sobre engenharia social para os funcionários.
3
Monitorar continuamente a rede para atividades anômalas e implementar soluções de detecção de intrusões.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a crescente sofisticação das táticas de engenharia social e a vulnerabilidade de suas redes a ataques que visam roubo de dados sensíveis.
⚖️ COMPLIANCE
Implicações diretas na conformidade com a LGPD, que exige proteção rigorosa de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
