Ciberataque combina email bombing com malware ‘Snow’

Um novo cibergrupo, identificado como UNC6692, está a utilizar uma combinação de email bombing e engenharia social para comprometer organizações e instalar uma família de malware modular denominada ‘Snow’, segundo o Google Threat Intelligence Group (GTIG).

A campanha, observada em dezembro de 2025, começa com o envio massivo de emails para a vítima, criando disrupção operacional. De seguida, os atacantes contactam o utilizador através do Microsoft Teams, fazendo-se passar por técnicos de suporte IT para oferecer assistência.

Sob este pretexto, as vítimas são levadas a aceder a um link que direciona para uma página de phishing, onde é apresentado um falso utilitário de reparação de caixa de correio. Ao interagir com a interface, incluindo um suposto “health check”, os utilizadores são induzidos a introduzir credenciais, que são capturadas pelos atacantes.

Em paralelo, scripts maliciosos descarregam componentes baseados em AutoHotKey, que instalam o backdoor Snowbelt sob a forma de extensão do browser Chromium. O mecanismo de persistência inclui tarefas agendadas e execução automática no arranque do sistema.

Após o acesso inicial, os atacantes utilizam a extensão maliciosa para descarregar componentes adicionais, incluindo Snowglaze e Snowbasin, a partir de infraestruturas alojadas em serviços cloud, nomeadamente buckets AWS S3.

A cadeia de ataque permite progressão dentro da rede comprometida. O módulo Snowglaze estabelece túneis seguros para comunicação com servidores de comando e controlo (C&C), facilitando movimentos laterais e acesso remoto. Já o Snowbasin atua como backdoor persistente, permitindo execução de comandos, captura de ecrã e recolha de dados.

O grupo foi também observado a realizar reconhecimento interno e a comprometer sistemas críticos. Entre as técnicas utilizadas estão a exploração de credenciais administrativas, sessões Remote Desktop Protocol (RDP) e extração de dados sensíveis a partir de memória de processos como o LSASS.

Os atacantes recorreram ainda a técnicas como Pass-The-Hash para aceder ao controlador de domínio e extrair ficheiros críticos, incluindo bases de dados do Active Directory e registos do sistema, posteriormente exfiltrados.

Segundo o GTIG, a campanha demonstra a crescente sofisticação dos ataques que combinam engenharia social com evasão técnica. A utilização de serviços cloud legítimos para alojamento de payloads contribui para contornar mecanismos tradicionais de deteção baseados em reputação.

O caso evidencia a importância de reforçar controlos de autenticação, formação de utilizadores e monitorização de atividades anómalas, especialmente em canais de comunicação corporativos, frequentemente explorados como vetor inicial de ataque.