# UNC6692 Implanta a Suíte de Malware 'Snow' via Microsoft Teams  Um grupo de ameaças rastreado como UNC6692 está utilizando engenharia social para implantar uma nova suíte de malware customizada chamada “Snow”, que inclui uma extensão de navegador, um tunneler e um backdoor. O objetivo final é roubar dados sensíveis após obter um comprometimento profundo da rede através do roubo de credenciais e tomada de controle do domínio. De acordo com pesquisadores do **Google’s Mandiant**, os atacantes empregam táticas de “email bombing” para criar um senso de urgência, e então contatam os alvos via **Microsoft Teams**, fingindo ser agentes de suporte de TI. Essa tática está se tornando cada vez mais popular entre cibercriminosos, como destacado em um relatório recente da **Microsoft**, onde atacantes enganam usuários para conceder acesso remoto via Quick Assist ou outras ferramentas de acesso remoto. ## Componentes do Malware 'Snow' Na campanha do UNC6692, as vítimas são solicitadas a clicar em um link para instalar um suposto patch projetado para bloquear spam de e-mail. Em vez disso, elas recebem um dropper que executa scripts **AutoHotkey**, carregando o 'SnowBelt', uma extensão maliciosa do Chrome.  A extensão opera dentro de uma instância headless do **Microsoft Edge**, permanecendo despercebida pelo usuário. Tarefas agendadas e um atalho na pasta de inicialização também são criados para garantir persistência. O 'SnowBelt' serve como um mecanismo de persistência e um relay para comandos enviados pelo atacante para um backdoor baseado em Python chamado 'SnowBasin'. Os comandos são entregues através de um túnel **WebSocket** estabelecido por uma ferramenta tunneler chamada 'SnowGlaze', mascarando as comunicações entre o host e a infraestrutura de comando e controle (C2). O 'SnowGlaze' também facilita operações de proxy **SOCKS**, permitindo que tráfego TCP arbitrário seja roteado através do host infectado. O 'SnowBasin' executa um servidor **HTTP** local e executa comandos CMD ou **PowerShell** fornecidos pelo atacante no sistema infectado, retransmitindo os resultados de volta para o operador através do mesmo pipeline. O malware suporta acesso remoto shell, exfiltração de dados, download de arquivos, captura de screenshots e operações básicas de gerenciamento de arquivos. O operador também pode emitir um comando de auto-terminação para desligar o backdoor no host.  ## Atividades Pós-Comprometimento A **Mandiant** observou que, após o comprometimento, os atacantes realizam reconhecimento interno, escaneando por serviços como **SMB** e **RDP** para identificar alvos adicionais, e então se movem lateralmente dentro da rede. Os atacantes extraem a memória do **LSASS** para obter material de credenciais e usam técnicas pass-the-hash para se autenticar em hosts adicionais, eventualmente obtendo acesso a controladores de domínio. Na fase final do ataque, o ator de ameaça implanta o **FTK Imager** para extrair o banco de dados do **Active Directory**, juntamente com os hives de registro SYSTEM, SAM e SECURITY. Esses arquivos são exfiltrados da rede usando **LimeWire**, concedendo aos atacantes acesso a dados de credenciais sensíveis em todo o domínio.  O relatório fornece indicadores de comprometimento (IoCs) extensos e também regras **YARA** para ajudar a detectar o conjunto de ferramentas “Snow”.