UNC6692 usa falsa ajuda de TI no Microsoft Teams para instalar malware SNOW

Campanha combina bombardeio de e-mails, convite externo no Teams, página de phishing e componentes SNOWBELT, SNOWGLAZE e SNOWBASIN para obter credenciais, executar comandos e criar túneis WebSocket.

Componente	Ecossistema SNOW, incluindo `SNOWBELT`, `SNOWGLAZE`, `SNOWBASIN`, scripts `AutoHotkey`, extensão maliciosa para Microsoft Edge e executável portátil de Python com bibliotecas.
Vetor	Engenharia social via Microsoft Teams após bombardeio de e-mails; a vítima recebe convite de uma conta externa, é abordada como se fosse suporte de TI e é induzida a acessar uma página de phishing chamada `Mailbox Repair and Sync Utility v2.1.5`.
Impacto	Coleta de credenciais de mailbox, reconhecimento inicial, instalação de extensão maliciosa no Edge, túnel WebSocket autenticado, execução remota por `cmd.exe` ou `powershell.exe`, captura de tela e upload/download de arquivos.
Prioridade	Restringir comunicações externas no Teams, exigir verificação formal do help desk, bloquear instalação não autorizada de ferramentas remotas e caçar execução de Edge em modo headless com `--load-extension`.
Artefatos	`SNOWBELT`, `SNOWGLAZE`, `SNOWBASIN`, `AutoHotkey`, AWS S3, `cmd.exe`, `powershell.exe`, portas locais 8000, 8001 e 8002, Rclone, Level RMM, LimeWire e FTK Imager.
Mitigação	Endurecer Teams, PowerShell, navegadores corporativos, RMMs, sincronizadores de arquivo, acesso administrativo local, telemetria de criação de túneis e tráfego para serviços de nuvem usados fora do padrão operacional.

Resumo técnico

O agrupamento de atividade UNC6692 foi observado usando engenharia social por Microsoft Teams para entregar um conjunto de malware até então não documentado no material analisado. A cadeia começa com um bombardeio de e-mails que cria pressão operacional sobre a vítima e abre espaço para uma abordagem falsa de help desk. Em seguida, uma conta externa inicia conversa no Teams e se apresenta como suporte de TI, oferecendo uma correção para o problema de spam. A interação desloca o phishing clássico de e-mail para uma superfície colaborativa em tempo real, onde a vítima tende a aceitar instruções porque acredita estar falando com uma função interna de suporte.

A etapa técnica principal não depende, inicialmente, de exploração de vulnerabilidade em produto. O operador convence a vítima a clicar em um link compartilhado no Teams e a instalar uma suposta correção local. O link leva a uma página de phishing identificada como Mailbox Repair and Sync Utility v2.1.5, que entrega um script AutoHotkey hospedado em um bucket AWS S3 controlado pelo operador. Esse script executa reconhecimento inicial e prepara a instalação de SNOWBELT, uma extensão maliciosa baseada em JavaScript para navegador Chromium, carregada no Microsoft Edge por inicialização em modo headless com a opção --load-extension.

O conjunto SNOW opera de forma modular. SNOWBELT funciona como backdoor em JavaScript e como intermediário de comandos, encaminhando tarefas para SNOWBASIN. SNOWGLAZE é um túnel em Python que cria uma conexão WebSocket segura e autenticada entre a rede interna da vítima e a infraestrutura de comando e controle. SNOWBASIN, por sua vez, mantém uma porta de acesso persistente, opera como servidor HTTP local nas portas 8000, 8001 ou 8002 e permite execução remota por cmd.exe ou powershell.exe, captura de telas, transferência de arquivos e autointerrupção.

Fluxo técnico

A campanha usa o bombardeio de e-mails como preparação psicológica e operacional. A vítima recebe volume elevado de mensagens, interpreta o evento como falha ou incidente interno e fica mais propensa a aceitar ajuda imediata. O contato no Teams explora esse momento. A conta externa envia mensagem simulando suporte de TI e oferece uma correção para o suposto problema de mailbox. O uso de Teams é relevante porque o canal carrega contexto empresarial, presença, chat interativo e, em alguns ambientes, permissões frouxas para comunicação entre locatários. A cadeia descrita também se encaixa em padrões mais amplos de abuso de colaboração corporativa para acesso inicial.

Ao clicar no link de phishing, a vítima chega a uma página que aparenta entregar uma ferramenta de reparo e sincronização de caixa postal. O conteúdo não apenas serve o script AutoHotkey, mas também incorpora lógica de filtragem. O gatekeeper valida características do alvo para reduzir entrega a ambientes automatizados e sandboxes. A página verifica o navegador e, quando o usuário não está no Microsoft Edge, apresenta um aviso persistente. Essa condição concentra a execução no ambiente esperado para carregamento da extensão maliciosa e reduz ruído operacional para o atacante.

Depois de executado, o script realiza reconhecimento inicial e força o carregamento de SNOWBELT no Edge em modo headless. Esse detalhe é importante para defesa porque combina um binário legítimo, um parâmetro de linha de comando associado a extensão local e execução sem interface visível. A extensão recebe comandos e aciona outros componentes. O fluxo inclui download de SNOWGLAZE, SNOWBASIN, scripts adicionais AutoHotkey e um arquivo ZIP com Python portátil e bibliotecas necessárias. A presença de Python portátil reduz dependência de instalação prévia no host e ajuda a manter a cadeia autocontida.

A página de phishing também apresenta um painel de configuração com botão Health Check. Ao acionar esse fluxo, o usuário é solicitado a inserir credenciais de mailbox sob a justificativa de autenticação. No comportamento observado, esses dados são coletados e enviados para outro bucket Amazon S3. Portanto, a cadeia mistura roubo de credenciais, execução local induzida por engenharia social, extensão maliciosa de navegador, túnel WebSocket e backdoor local. Em fases posteriores descritas no contexto, os operadores também usaram canais remotos, protocolos administrativos nativos e ferramentas comerciais ou legítimas para ampliar acesso e transferir informações para armazenamento externo.

Superfície afetada

A superfície exposta envolve usuários corporativos que podem receber convites de contas externas no Microsoft Teams, especialmente quando o processo de help desk permite contato direto sem verificação fora de banda. Executivos e funcionários seniores aparecem como alvos recorrentes em campanhas desse tipo, porque têm acesso a comunicações sensíveis e podem acionar fluxos internos com menos fricção. O risco cresce quando Teams, assistência remota, compartilhamento de tela, PowerShell e instalação de ferramentas administrativas não têm controles coordenados.

No endpoint, a exposição se concentra em Windows com Microsoft Edge disponível, execução de scripts AutoHotkey, criação de processos de navegador em modo headless e capacidade de carregar extensões locais. A cadeia também depende de acesso de saída para serviços de nuvem, incluindo buckets AWS S3 usados para entrega de payload e exfiltração de credenciais. Como esses serviços são comuns em ambientes empresariais, filtros baseados apenas em reputação de domínio podem ter dificuldade para separar tráfego legítimo de abuso. A atividade pós-acesso descrita ainda inclui uso de Level RMM como canal remoto alternativo, Rclone para transferência de dados e utilitários como FTK Imager em ações direcionadas a dados sensíveis.

A fase de movimentação e expansão de acesso deve ser tratada como condicionada à obtenção de credenciais, permissões e conectividade interna. O contexto descreve uso de protocolos administrativos nativos, incluindo Windows Remote Management, e técnicas baseadas em credenciais para alcançar ativos de maior valor, como controladores de domínio. Também há referência a uso de conta local de administrador para acessar memória do processo LSASS, uso de hashes de usuários elevados e sessões remotas via túnel SNOWGLAZE. Esses elementos indicam que o impacto real depende da postura de privilégios locais, segmentação, proteção de credenciais e monitoramento de administração remota.

Locatários do Microsoft Teams que permitem comunicação externa sem validação forte de identidade do help desk.
Endpoints Windows com Microsoft Edge, execução de AutoHotkey e permissões suficientes para carregar extensão local em navegador Chromium.
Ambientes que permitem tráfego de saída para AWS S3 e túneis WebSocket sem inspeção contextual por usuário, processo e destino.
Estáções com uso permissivo de cmd.exe, powershell.exe, ferramentas RMM, Rclone, Level RMM, LimeWire ou utilitários forenses fora de processo autorizado.
Redes em que credenciais administrativas locais, WinRM, RDP e acesso a controladores de domínio não são rigidamente segmentados.

Hunting e telemetria

A investigação deve começar pela correlação entre bombardeio de e-mails, mensagens externas no Teams e execução local subsequente. Um sinal forte é a proximidade temporal entre alto volume de mensagens na caixa postal, convite ou chat externo com alegação de suporte e download de artefatos a partir de infraestrutura em nuvem. Em logs de colaboração, procure conversas iniciadas por domínios externos, usuários que não fazem parte do help desk real e mensagens que ofereçam reparo de mailbox, sincronização, health check ou instalação de correção local.

No endpoint, a telemetria de processo é central. O carregamento de Edge em modo headless com --load-extension deve ser investigado, principalmente quando o processo é filho de interpretadores de script, downloads recentes ou diretórios de usuário. A execução de scripts AutoHotkey, criação de diretórios temporários com extensões Chromium, extração de ZIP com Python portátil e conexões WebSocket iniciadas por processos incomuns são indicadores comportamentais importantes. Também vale caçar servidores HTTP locais nas portas 8000, 8001 ou 8002 quando associados a binários ou scripts fora do inventário corporativo.

A camada de identidade deve buscar autenticações anômalas após uso do painel Health Check, alterações de sessão em mailbox e possíveis tentativas de uso de credenciais recém-coletadas. Em rede, monitore tráfego para buckets S3 fora de padrões esperados, conexões WebSocket persistentes, transferência de arquivos por ferramentas de sincronização e uso de RMM não aprovado. Na fase pós-acesso, investigue execução de cmd.exe e powershell.exe acionada por processos locais incomuns, criação de canais alternativos com Level RMM, uso de Rclone para envio de arquivos e qualquer execução de ferramentas de imagem forense em estáções que não fazem parte de atividade autorizada de DFIR.

Sequência temporal de bombardeio de e-mails, chat externo no Teams e download de suposta ferramenta de reparo de mailbox.
Processos do Microsoft Edge com --load-extension e modo headless, especialmente quando iniciados a partir de caminhos de usuário ou scripts.
Execução de AutoHotkey seguida por downloads de ZIP, Python portátil, bibliotecas ou componentes nomeados como SNOWBELT, SNOWGLAZE e SNOWBASIN.
Servidor HTTP local nas portas 8000, 8001 ou 8002 associado a comportamento de backdoor, captura de tela ou transferência de arquivos.
Conexões WebSocket persistentes para destinos externos não usuais e tráfego para AWS S3 fora de aplicações aprovadas.
Uso de Rclone, Level RMM, LimeWire ou FTK Imager sem chamado, mudança aprovada ou atividade formal de resposta a incidentes.
Eventos de acesso a LSASS, uso de conta local de administrador e autenticações administrativas em ativos de alto valor após o contato no Teams.

Mitigação

A resposta deve priorizar o canal inicial. Organizações devem restringir ou condicionar comunicação externa no Microsoft Teams, impor avisos claros para chats entre locatários e exigir verificação fora de banda para qualquer solicitação de suporte que envolva instalação de software, compartilhamento de tela, Quick Assist, RMM ou execução de comandos. O help desk precisa ter identidade verificável, processo registrado e canal conhecido; qualquer abordagem iniciada por conta externa durante um bombardeio de e-mail deve ser tratada como suspeita até validação independente.

No endpoint, bloqueie execução não autorizada de AutoHotkey, carregamento arbitrário de extensões locais no Edge e uso de navegador em modo headless quando não houver necessidade operacional. Controles de aplicação devem cobrir Python portátil, RMMs, sincronizadores de arquivo e utilitários de transferência. PowerShell deve operar com registro detalhado, política de execução compatível com o risco do ambiente e integração com EDR. O carregamento de extensão por linha de comando merece regra específica, pois é um ponto de transição entre engenharia social e persistência funcional no navegador.

A contenção de um host suspeito deve incluir isolamento de rede, coleta de artefatos de processo, revisão de extensões do Edge, busca por scripts AutoHotkey, remoção dos componentes SNOW quando confirmados e revogação de sessões associadas. Credenciais inseridas no painel de phishing devem ser consideradas comprometidas. A organização deve redefinir senhas, revogar tokens quando aplicável e revisar autenticações posteriores. Se houver indício de uso de Rclone, Level RMM, WinRM, RDP ou acesso a controladores de domínio, a investigação precisa expandir para identidade, ativos críticos e movimentação lateral.

A validação final não deve se limitar à remoção dos arquivos iniciais. Como a cadeia descrita usa serviços legítimos de nuvem, protocolos administrativos e ferramentas comerciais, é necessário revisar exceções de proxy, regras de saída, inventário de RMM, permissões administrativas locais e segmentação. A defesa também deve simular o fluxo de help desk em exercícios internos, confirmar que usuários reconhecem comunicações externas no Teams e testar se alertas conectam e-mail bombing, colaboração, execução de script, extensão de navegador e tráfego WebSocket em uma única narrativa de incidente.

Aplicar controles de comunicação externa no Teams e exigir validação fora de banda para qualquer atendimento de suporte iniciado por chat.
Bloquear ou alertar execução de Edge com --load-extension e modo headless fora de automações aprovadas.
Restringir AutoHotkey, Python portátil, RMMs não homologados, Rclone, LimeWire e ferramentas de imagem forense por controle de aplicação.
Monitorar e limitar tráfego de saída para AWS S3 e WebSocket com base em usuário, processo, destino e histórico operacional.
Redefinir credenciais e revogar sessões de usuários que interagiram com o painel Health Check ou páginas de reparo de mailbox.
Revisar contas locais de administrador, exposição de LSASS, WinRM, RDP e caminhos de acesso a controladores de domínio.
Executar caça retroativa por portas locais 8000, 8001 e 8002, extensões suspeitas no Edge e artefatos relacionados a SNOWBELT, SNOWGLAZE e SNOWBASIN.

UNC6692 usa falsa ajuda de TI no Microsoft Teams para instalar malware SNOW

Postar um comentário

0 Comentários

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Comunidade

Assuntos

Menu Footer Widget

Contato

UNC6692 usa falsa ajuda de TI no Microsoft Teams para instalar malware SNOW

Talvez você goste destas postagens

Postar um comentário

0 Comentários

Siga o Cyber Guardian News

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Briefing global de ameaças

Comunidade

Assuntos

Menu Footer Widget

Contato