Uma campanha de phishing que explora recursos legítimos do Google Cloud para enganar usuários corporativos foi localizada por pesquisadores da Check Point Software: os pesquisadores identificaram uma operação em larga escala, na qual cibercriminosos falsificam comunicações oficiais do Google utilizando a infraestrutura da própria empresa para distribuir e-mails maliciosos e assim conseguir credibilidade.
Os pesquisadores descrevem na análise a seguir uma campanha de phishing em que atacantes reproduzem e-mails legítimos gerados pelo Google para enganar usuários, explorando o serviço Google Cloud Application Integration para distribuir mensagens maliciosas que aparentam ter origem em uma infraestrutura confiável do Google. As mensagens imitam notificações corporativas rotineiras, como alertas de correio de voz e solicitações de acesso ou permissão a arquivos, o que faz com que pareçam normais e confiáveis para os destinatários.
Nesse incidente, os atacantes enviaram 9.394 e-mails de phishing direcionados a aproximadamente 3.200 organizações em todo o mundo ao longo dos últimos 14 dias. Todas as mensagens partiram do endereço legítimo “noreply-application-integration@google[.]com”, o que aumentou significativamente a credibilidade e a probabilidade de os e-mails chegarem às caixas de entrada dos usuários finais.
Mapa de impacto da campanha de phishing
Regionalmente, as organizações vítimas da campanha estavam majoritariamente localizadas nos Estados Unidos (48,6%), seguidas pela região da Ásia-Pacífico (20,7%) e pela Europa (19,8%). Também foram identificadas organizações afetadas no Canadá (4,1%), na América Latina (3,0%), no Oriente Médio (2,2%) e na África (0,9%), com 0,7% dos casos permanecendo desconhecidos ou não classificados.
Na América Latina, a distribuição das organizações vítimas se concentrou principalmente no Brasil (41%) e no México (26%), seguidos por Argentina (13%), Colômbia (12%), Chile (5%) e Peru (3%), com participações menores em outros países da região.
Globalmente, a análise dos pesquisadores mostra que os setores mais visados pela campanha foram Manufatura e Industrial (19,6%), Tecnologia e SaaS (18,9%) e Financeiro, Bancos e Seguros (14,8%). Em seguida aparecem Serviços Profissionais e Consultoria (10,7%) e Varejo e Consumo (9,1%). Também foram observadas atividades em Mídia e Publicidade (7,4%), Educação e Pesquisa (6,2%), Saúde e Ciências da Vida (5,1%), Energia e Utilities (3,2%), Governo e Setor Público (2,5%), Viagens e Hospedagem (1,9%) e Transporte e Logística (0,9%), além da categoria Outros ou Desconhecidos (1,7%).
Esses setores costumam depender fortemente de notificações automatizadas, documentos compartilhados e fluxos de trabalho baseados em permissões, o que torna alertas com a marca Google especialmente convincentes.
O método de ataque
Com base nas características observadas dos e-mails e na infraestrutura de envio, a campanha parece explorar a funcionalidade Send Email do Google Cloud Application Integration, um recurso originalmente criado para automação legítima de fluxos de trabalho e envio de notificações de sistemas. Essa funcionalidade permite que integrações previamente configuradas enviem e-mails a destinatários não restritos, o que explica como os atacantes conseguiram distribuir mensagens diretamente a partir de domínios do Google, sem que a infraestrutura da empresa tenha sido comprometida.
Esse comportamento indica a exploração de capacidades legítimas de automação em nuvem para se passar por notificações autênticas do Google, contornando controles tradicionais de detecção baseados em reputação do remetente e do domínio.
Para aumentar ainda mais a confiança, os e-mails seguiram de forma muito fiel o estilo e a estrutura das notificações do Google, incluindo formatação e linguagem familiares. Os temas mais comuns mencionavam mensagens de correio de voz ou alegavam que o destinatário havia recebido acesso a um arquivo ou documento compartilhado, como um suposto arquivo de “Q4” (quarto trimestre), induzindo o usuário a clicar em links incorporados e agir imediatamente.
Conforme ilustrado no diagrama acima, o ataque se baseia em um fluxo de redirecionamento em múltiplas etapas, projetado para reduzir a desconfiança do usuário e atrasar a detecção por soluções de segurança.
1. Clique inicial
O usuário clica em um botão ou link hospedado em storage.cloud.google.com, um serviço legítimo do Google Cloud. O uso de uma URL confiável hospedada em nuvem logo na primeira etapa ajuda a estabelecer confiança e reduz a chance de o link ser bloqueado ou questionado.
2. Etapa de validação e filtragem
Em seguida, o link redireciona o usuário para um conteúdo servido a partir de googleusercontent.com, onde é apresentado um CAPTCHA falso ou um mecanismo de verificação baseado em imagens. Essa etapa tem como objetivo bloquear scanners automatizados e ferramentas de segurança, permitindo que usuários reais avancem.
3. Destino final, coleta de credenciais
Após passar pela etapa de validação, o usuário é redirecionado para uma página falsa de login da Microsoft, hospedada em um domínio que não pertence à Microsoft. Todas as credenciais inseridas nessa etapa são capturadas pelos atacantes, concluindo a cadeia de phishing.
Essa abordagem de redirecionamento em camadas combina infraestrutura de nuvem confiável, checagens de interação do usuário e exploração de marcas conhecidas para maximizar a taxa de sucesso do ataque e minimizar a detecção precoce.
Exemplo de e-mails reais de phishing identificados
De acordo com o Google, a declaração da empresa informa que: “bloqueamos diversas campanhas de phishing que envolveram o uso indevido de um recurso de notificação por e-mail do Google Cloud Application Integration. É importante destacar que essa atividade decorreu do abuso de uma ferramenta de automação de fluxos de trabalho, e não de um comprometimento da infraestrutura do Google. Embora tenhamos implementado proteções para defender os usuários contra esse ataque específico, incentivamos a manutenção da cautela, uma vez que agentes mal-intencionados frequentemente tentam se passar por marcas confiáveis. Estamos adotando medidas adicionais para evitar novos usos indevidos”.
Os pesquisadores da Check Point Software destacam que essa campanha evidencia como atacantes podem explorar recursos legítimos de automação em nuvem e fluxos de trabalho para distribuir phishing em escala, sem recorrer a técnicas tradicionais de falsificação de remetente. O caso reforça a necessidade de atenção contínua por parte das organizações e dos usuários, especialmente quando e-mails contêm links clicáveis, mesmo quando o remetente, o domínio e a infraestrutura aparentam ser totalmente legítimos.
FONTE: CISO ADVISOR
