3. Mai 2026, 13:47 Uhr | Lesezeit: 3 Minuten

Davor warnt die Google Threat Intelligence Group (GTIG) in einem Blog-Beitrag. Auffällig an der Methode ist, dass keine klassischen Sicherheitslücken in Software ausgenutzt werden. Stattdessen basiert der Angriff vollständig auf der Mitwirkung der Betroffenen. Aus technischer Sicht bleiben die Systeme zunächst unverändert, der eigentliche Einstieg erfolgt stattdessen über psychologischen Druck.

E-Mail-Bombing als Ablenkung

Laut GTIG beginnt der Angriff mit einem sogenannten E-Mail-Bombing. Dabei wird das Postfach des Opfers innerhalb kurzer Zeit mit einer großen Menge an Spam-Nachrichten geflutet. Diese Mails selbst enthalten keine Schadsoftware. Ihr Zweck liegt darin, Stress zu erzeugen und ein angebliches Sicherheitsproblem vorzutäuschen. Die Flut an Nachrichten soll die Aufmerksamkeit binden und die Situation unübersichtlich machen. In dieser Phase warten die Angreifer gezielt auf den richtigen Moment für den nächsten Schritt.

Nach der E-Mail-Flut melden sich die Angreifer über Microsoft Teams. Sie geben sich dabei als Mitarbeiter eines technischen Supports aus. Der Ton ist professionell, die Ansprache wirkt glaubwürdig. Angeboten wird eine schnelle Lösung in Form eines angeblichen Sicherheitspatches. Der dazugehörige Link führt tatsächlich auf einen Amazon-Server, was zusätzlich Vertrauen schafft. Genau dieser Umstand senkt die Hemmschwelle, den nächsten Klick auszuführen.

Schadsoftware tarnt sich als Reparaturtool

Die Datei auf dem Server ist jedoch schädlich. Nach dem Öffnen startet ein Edge-Browser-Fenster, das wie eine legitime Reparatur-Software aussieht. Im Hintergrund wird die Browser-Erweiterung SnowBelt installiert. Diese Schadsoftware sammelt Zugangsdaten sowie Authentifizierungs-Tokens. Zusätzlich fordert das Programm zur Eingabe der eigenen Anmeldedaten auf, um das angebliche Sicherheitsproblem zu beheben. Spätestens an diesem Punkt liegt die Kontrolle nicht mehr bei den Betroffenen.

Mit den erlangten Anmeldedaten übernehmen die Angreifer das Benutzerkonto und erhalten Zugriff auf den PC. Technische Schwachstellen in Betriebssystem oder Software spielen dabei keine Rolle. Die gesamte Angriffskette nutzt ausschließlich menschliches Vertrauen aus. Laut Bericht reicht diese Schwachstelle aus, um Sicherheitsmechanismen vollständig zu umgehen.

Mehr zum Thema

Sicherheitsrisiko Neue Gmail-Funktion lockt Betrüger an! Nutzer müssen aufpassen

Dringende Warnung! Hier wird WhatsApp jetzt zur Malware-Falle

Weitere Tools sichern dauerhaften Zugang

Nach der ersten Übernahme installieren die Angreifer zwei weitere Programme. SnowGlaze baut einen WebSocket-Tunnel auf, der gängige Firewalls umgeht und Fernzugriff ermöglicht. SnowBasin fungiert als dauerhafte Hintertür. Darüber lassen sich Befehle ausführen und zusätzliche Programme installieren, ohne dass Betroffene davon Kenntnis erhalten. Der angegriffene Rechner dient damit als Ausgangspunkt für weitere Schritte.

UNC6692 zielt nicht auf einzelne Geräte ab. Der Snow-Angriff ist darauf ausgelegt, komplette Netzwerke zu analysieren und auszunutzen. Nach der ersten Infektion spähen die Hinterleute weitere Systeme aus und greifen lateral um sich. Im Vordergrund steht dabei nicht Sabotage, sondern der Diebstahl von Daten und Zugangsinformationen. Diese werden dem Bericht zufolge über den Filesharing-Dienst LimeWire aus den kompromittierten Netzwerken abgezogen und später weiterverwertet.

Auch interessant: Wenn Nutzer das nicht tun, sperrt Samsung das Smartphone

Bedeutung für Nutzer

Privatanwender gehören laut Einschätzung nicht zur Hauptzielgruppe von UNC6692. Ohne Zugriff auf Unternehmensstrukturen sind private Rechner für die Angreifer kaum attraktiv. Dennoch zeigt der Fall, dass technischer Schutz allein nicht ausreicht. Gegen diese Form des Angriffs hilft keine zusätzliche Software, sondern nur ein kritischer Umgang mit unerwarteten Nachrichten und Support-Anfragen.