Golpistas usam email bombing para instalar malware via Microsoft Teams
Escrito por Mariana Silva
AtualizadoIdentificado pela Mandiant, que faz parte do Grupo de Inteligência de Ameaças do Google (GTIG), o grupo conhecido UNC6692 usava uma campanha maliciosa para lotar a caixa de entrada das vítimas com e-mails inúteis. Os cibercriminosos aproveitavam a confusão e utilizam técnicas de engenharia social para se passar por um falso suporte de TI e oferecer uma solução que instala malware no dispositivo.
O Google descobriu que a campanha está em ativa desde de dezembro de 2025; com a estratégia de disparar milhares de mensagens para o e-mail da vítima (e-mail bombing), criando um senso de urgência e distração. Os hackers enviam uma mensagem pelo Microsoft Teams oferecendo uma solução imediata para o problema, que, na verdade, é apenas uma armadilha.
Leia também: Golpe do representante do Google
Sobre o e-mail bombing:
Email bombing é um ataque cibernético que inunda uma caixa de entrada com milhares de e-mails indesejados em pouco tempo, visando sobrecarregar o serviço de e-mail ou disfarçar alertas de segurança importantes. Frequentemente usado como cortina de fumaça, esse método esconde confirmações de compras fraudulentas ou tentativas de invasão.
Como o ataque funciona na prática?
Depois que a vítima entra em contato com o falso suporte de TI pelo Microsoft Teams:
- O falso atendente envia um link que parece ser uma ferramenta oficial de reparo de caixa de entrada. Ao acessar a página, o navegador baixa automaticamente dois arquivos: um programa chamado AutoHotKey (software legítimo usado para automatizar tarefas no computador e um script, que é basicamente um arquivo de instruções que diz ao programa o que fazer.
- Por estarem na mesma pasta com o mesmo nome, o script é executado automaticamente pelo AutoHotKey, sem que a vítima precise fazer mais nada. Ele então baixa o SNOWBELT, uma extensão maliciosa para navegadores baseados no Chromium (como o Google Chrome e o Microsoft Edge).
- Para garantir a persistência, ou seja, que o malware continue ativo mesmo depois de reiniciar o computador, é criado um atalho na pasta de inicialização do Windows, que é carregada automaticamente toda vez que o sistema ligar.
- Duas tarefas agendadas são instaladas: a primeira abre uma janela invisível do Microsoft Edge já carregando o SNOWBELT; a segunda funciona como uma "faxineira", encerrando versões do Edge que não estejam rodando o malware para evitar que ele seja detectado ou interrompido.
- O SNOWBELT então baixa componentes adicionais: os scripts SNOWGLAZE e SNOWBASIN, além de um pacote com um executável em Python (linguagem de programação) e outros arquivos de suporte.
Com tudo instalado, o SNOWGLAZE estabelece uma conexão entre o computador da vítima e os servidores dos criminosos. Já o SNOWBASIN age como um "backdoor" (a porta dos fundos do sistema) que permite executar comandos remotamente, tirar capturas de tela e preparar arquivos para exfiltração, isto é, envio não autorizado de dados para fora da máquina. Por fim, os atacantes fazem um reconhecimento da rede interna para identificar outros computadores e servidores vulneráveis, podendo ampliar o ataque bem além do dispositivo inicial.
Ataques como esse funcionam porque exploram o desespero: ninguém pensa que uma caixa de entrada lotada e um suporte técnico de TI oferecendo ajuda, podem ser uma ameaça.
Antes de clicar em qualquer link ou permitir acesso remoto, confirme a identidade do atendente com o setor de TI da empresa por outro canal. Desconfie de contatos não solicitados, mesmo que venham por ferramentas corporativas como o Microsoft Teams. Suportes técnicos legítimos raramente aparecem sozinhos justamente quando um problema surge, essa coincidência quase nunca é coincidência.
