Uma nova e sofisticada campanha de engenharia social, levada a cabo por hackers associados ao governo russo, está a conseguir contornar a autenticação multifator (MFA) para aceder a contas do Gmail. O ataque foca-se em académicos e críticos da Rússia, utilizando um método paciente e personalizado para enganar as vítimas.
Uma campanha de phishing paciente e personalizada
Entre abril e o início de junho de 2025, os atacantes, identificados pelo Google como o grupo UNC6293, enviaram e-mails de phishing meticulosamente elaborados. Estes e-mails não tentavam criar um sentido de urgência, uma tática comum em ataques de phishing. Em vez disso, os hackers estabeleciam uma comunicação credível, fazendo-se passar por funcionários do Departamento de Estado dos EUA, com o objetivo de convencer os alvos a criar e partilhar "palavras-passe específicas da aplicação".
Segundo os investigadores do Google Threat Intelligence Group (GTIG), a campanha utilizou identidades falsas, várias contas e materiais de apoio para tornar o engano mais credível, recorrendo a proxies residenciais e servidores VPS para ocultar a sua localização ao aceder às contas comprometidas.
Como funciona o ataque da "palavra-passe específica da aplicação"?
Uma palavra-passe específica da aplicação é uma funcionalidade do Google desenhada para permitir que aplicações mais antigas ou consideradas menos seguras (como um cliente de e-mail de terceiros) acedam a uma conta Google que tenha a autenticação de dois fatores (2FA) ativa.
O problema é que, uma vez criada, esta palavra-passe de 16 dígitos funciona como uma chave mestra para essa aplicação, contornando a necessidade de um segundo fator de autenticação. Os hackers exploram precisamente esta funcionalidade: ao convencerem a vítima a criar e a partilhar esta palavra-passe, ganham acesso total e persistente à conta de Gmail do alvo.
O caso de Keir Giles: um ataque passo a passo
A investigação do grupo académico The Citizen Lab detalhou um dos ataques, que visou Keir Giles, um especialista em operações de informação russas. O processo desenrolou-se em várias etapas:
- O Convite Inicial: Giles recebeu um e-mail assinado por uma suposta "Claudie S. Weber" do Departamento de Estado dos EUA, convidando-o para uma "conversa online privada". Para aumentar a credibilidade, vários endereços de e-mail
@state.govforam incluídos na linha de CC (com conhecimento). - Explorar uma Falha: Os investigadores acreditam que os hackers sabiam que o servidor de e-mail do Departamento de Estado está configurado para não devolver mensagens de erro para endereços inexistentes, o que permitiu que os e-mails falsos no CC não levantassem suspeitas.
- A Armadilha: Após algumas trocas de e-mails, o atacante convidou Giles a juntar-se a uma plataforma fictícia, a "MS DoS Guest Tenant". Para tal, foi-lhe enviado um ficheiro PDF com instruções detalhadas sobre como criar uma palavra-passe específica da aplicação na sua conta Google.
- O Golpe Final: As instruções explicavam que seria necessário partilhar essa palavra-passe com os "administradores" para que o utilizador externo fosse adicionado à plataforma. Ao seguir os passos, a vítima acaba por entregar o controlo total da sua conta de e-mail aos atacantes.
Quem está por trás destes ataques?
O grupo UNC6293 é suspeito de ter ligações ao APT29 (também conhecido como Nobelium, Cozy Bear ou Midnight Blizzard), um grupo de ameaças associado ao Serviço de Inteligência Estrangeiro da Rússia (SVR). Este grupo é conhecido por visar redes governamentais, institutos de investigação e think tanks desde, pelo menos, 2008.
Como se pode proteger deste tipo de ameaça?
Para os utilizadores que são alvos frequentes de ataques sofisticados, como ativistas, jornalistas ou académicos, a Google recomenda a adesão ao seu Programa de Proteção Avançada. Este programa eleva as medidas de segurança da conta e, crucialmente, bloqueia a capacidade de criar palavras-passe específicas da aplicação, impedindo diretamente este vetor de ataque. É uma medida de segurança mais restritiva, mas eficaz contra este tipo de ameaça engenhosa.
Nenhum comentário
Seja o primeiro!