A confiança é a moeda mais valiosa na internet, e os cibercriminosos sabem disso melhor do que ninguém. Numa reviravolta irónica e preocupante, uma nova campanha maliciosa está a utilizar a infraestrutura legítima da Google para contornar filtros de segurança e roubar dados de acesso de contas Microsoft.
Esta descoberta foi feita pelos investigadores da Check Point Research, que identificaram um esquema sofisticado onde os atacantes abusam do serviço Google Cloud Application Integration. Em vez de utilizarem endereços de email suspeitos ou domínios falsos que seriam rapidamente bloqueados, estes hackers conseguiram enviar emails de phishing a partir de um endereço genuíno da Google: noreply-application-integration@google.com.
Abuso de confiança e infraestrutura legítima
O grande trunfo desta campanha reside na sua capacidade de passar despercebida. Ao utilizarem o serviço de integração de aplicações da Google, os atacantes conseguem que as suas mensagens passem pelos filtros de segurança tradicionais (como verificações SPF e DMARC), uma vez que a origem do email é, tecnicamente, autêntica.
O esquema aproveita a tarefa "Send Email" (Enviar Email) da plataforma, que permite o envio de notificações personalizadas. Embora a documentação da Google indique um limite de 30 destinatários por tarefa, isso não impediu os atacantes de escalar a operação. Durante um período de observação de 14 dias em dezembro de 2025, foram detetados 9.394 emails de phishing direcionados a cerca de 3.200 clientes.
As mensagens são desenhadas para imitar notificações corporativas de rotina, como alertas de correio de voz ou pedidos de acesso a ficheiros partilhados (frequentemente referidos como documentos financeiros do "Q4"). O formato e a linguagem seguem rigorosamente o estilo da Google, aumentando a probabilidade de um utilizador desatento clicar nos links fornecidos.
Uma cadeia de ataque multifacetada
O processo de ataque não se fica pelo envio do email. Quando a vítima clica no link, inicia-se um fluxo de redirecionamento complexo desenhado para enganar tanto humanos como máquinas.
O Isco Inicial: O link no email direciona para uma página alojada em
storage.cloud.google.com, outro serviço legítimo que raramente é bloqueado por firewalls empresariais.A Validação: O utilizador é então redirecionado para conteúdo servido através de
googleusercontent.com. Aqui, é apresentada uma página com um CAPTCHA falso ou uma verificação de imagem. Este passo serve como uma barreira para impedir que scanners de segurança automatizados analisem o destino final do ataque.O Roubo: Após passar a "verificação", a vítima é finalmente levada para uma página de login falsa da Microsoft, alojada num domínio não oficial, onde as credenciais são capturadas.
A Google já reagiu a estas descobertas, bloqueando os esforços de phishing identificados que abusavam desta funcionalidade e implementando medidas adicionais para prevenir futuros abusos. A campanha visou principalmente os setores da tecnologia, finanças e indústria transformadora, áreas que dependem fortemente de notificações automatizadas e fluxos de trabalho partilhados, tornando este tipo de alerta falsificado particularmente convincente.
Nenhum comentário
Seja o primeiro!