A agência de cibersegurança dos Estados Unidos (CISA) emitiu um alerta na última semana de abril de 2026 sobre duas falhas ativamente exploradas no software de suporte remoto SimpleHelp. Quase simultaneamente, pesquisadores da Google Mandiant detalharam como o grupo criminoso UNC6692 está usando o Microsoft Teams para enganar funcionários e instalar a suíte de malwares "Snow". As ferramentas que construímos para conectar equipes estão sendo usadas contra nós.
Confiamos na estrutura dos nossos escritórios digitais da mesma forma que confiamos nas portas de vidro de um prédio físico. Quando uma mensagem pisca na tela com o logotipo da empresa e o nome do suporte técnico, a reação humana instintiva é obedecer. Os criminosos sabem disso. Eles não estão apenas quebrando senhas em servidores isolados; eles manipulam a percepção de segurança que temos dentro de ambientes controlados.
A ilusão do suporte técnico via Microsoft Teams
O grupo UNC6692 executa uma verdadeira peça de teatro digital. Eles iniciam o ataque com táticas de "email bombing", inundando a caixa de entrada da vítima com mensagens de erro para gerar pânico. Em meio ao estresse, os invasores entram em contato via Microsoft Teams fingindo ser a equipe de suporte de TI que veio resolver o problema. É uma evolução tática que já vimos antes, quando abordamos o fato de que seu colega de chat no Teams pode ser um hacker usando falhas na arquitetura da plataforma.
A vítima recebe um link para baixar uma suposta ferramenta corretiva, mas na verdade instala a suíte "Snow". Vamos desbugar o que há dentro desse pacote: o código instala o SnowBelt, uma extensão maliciosa que se infiltra no Chrome e no Edge; o SnowGlaze, que cria um túnel invisível para enviar dados para fora da empresa; e o SnowBasin, um backdoor (porta dos fundos) que permite aos invasores tirar capturas de tela e assumir o controle do teclado remotamente. Eles usam programas legítimos de análise forense, como o FTK Imager, para roubar o banco de dados de senhas da rede (o arquivo SAM do Windows) sem disparar os antivírus tradicionais. Ataques anteriores com instaladores falsos do Teams distribuídos no Google já ensaiavam a invasão, mas a engenharia social feita diretamente no chat aumenta exponencialmente a taxa de vítimas que clicam no link.
O problema invisível no SimpleHelp
Enquanto o ataque no Teams exige interação humana, o problema no software de suporte SimpleHelp é puramente de código. A CISA incluiu duas falhas na sua lista de vulnerabilidades ativamente exploradas (KEV) no dia 24 de abril. A primeira brecha carrega o código CVE-2024-57726 e envolve autorização ausente em um nível crítico.
Para desbugar o termo: essa é uma falha de "escalação de privilégios". Na prática, significa que um técnico de suporte com acesso limitado consegue manipular as chaves de integração (API) da plataforma para transformar sua própria conta em um perfil de administrador absoluto do sistema. O funcionário ganha as chaves do prédio inteiro.
A segunda vulnerabilidade, catalogada como CVE-2024-57728, atua por meio de "path traversal", uma técnica apelidada pela indústria de "zip slip". Imagine que um usuário tem permissão apenas para enviar arquivos compactados para uma pasta inofensiva de rascunhos no servidor. O hacker insere caracteres de retrocesso no nome do arquivo (como "../../arquivo.exe") antes de compactá-lo. Quando o SimpleHelp extrai o pacote, os arquivos maliciosos escapam da pasta restrita e são gravados diretamente nas pastas vitais do sistema operacional. Isso entrega ao invasor a capacidade de executar qualquer comando na máquina central.
A sua caixa de ferramentas: O que fazer agora
A confiança cega em ícones conhecidos na barra de tarefas se tornou um risco caro para as operações modernas. Para retomar o controle e fechar essas portas, as equipes de tecnologia precisam executar três ações diretas nesta semana.
- A primeira medida é cumprir o prazo federal. A CISA determinou o dia 8 de maio de 2026 como a data limite obrigatória para aplicar as atualizações de segurança no SimpleHelp. Se o fornecedor não tiver disponibilizado o patch, a agência orienta o desligamento completo do serviço.
- A segunda ação exige uma auditoria interna. Os administradores de rede devem revisar imediatamente os logs da API e o histórico de uploads no SimpleHelp, procurando por arquivos compactados com nomes não padronizados.
- A terceira barreira é humana. As empresas precisam bloquear a comunicação de contas externas não verificadas no Microsoft Teams e estabelecer uma regra simples, comunicada a todos os funcionários hoje: o suporte de TI real nunca envia links externos não solicitados pedindo o download de executáveis durante um atendimento por chat.