Pesquisadores revelaram os detalhes de uma campanha avançada de phishing na qual hackers exploraram um recurso legítimo do Google Cloud para enviar e-mails falsos que se passam por notificações oficiais do próprio Google. A técnica permitiu que as mensagens fossem distribuídas a partir de um endereço legítimo noreply-application-integration@google[.]com aumentando drasticamente a taxa de sucesso do golpe ao contornar filtros tradicionais de segurança de e-mail.

De acordo com a Check Point, os invasores abusaram do serviço Application Integration, mais especificamente da funcionalidade “Send Email”, criada para automações corporativas. Embora o recurso tenha sido projetado para facilitar notificações internas, os hackers conseguiram configurá-lo para enviar mensagens a endereços arbitrários, explorando a confiança associada à infraestrutura do Google para burlar mecanismos como DMARC e SPF.

E-mails legítimos na aparência, maliciosos na prática

Os e-mails simulavam notificações corporativas comuns, como alertas de correio de voz, solicitações de acesso a arquivos ou permissões para documentos compartilhados por exemplo, um suposto arquivo “Q4”. O visual, a linguagem e a estrutura seguiam fielmente o padrão das comunicações oficiais do Google, o que reduziu a desconfiança das vítimas e aumentou a taxa de cliques.

Durante um período de 14 dias em dezembro de 2025, foram enviados 9.394 e-mails de phishing, atingindo cerca de 3.200 organizações em regiões como Estados Unidos, Europa, Canadá, América Latina e Ásia-Pacífico. Entre os setores mais afetados estão manufatura, tecnologia, finanças, serviços profissionais e varejo, embora áreas como educação, saúde, governo, energia e transporte também tenham sido impactadas.

Cadeia de ataque em múltiplas etapas e infraestrutura confiável

O ataque não se limitava ao e-mail. Ao clicar no link malicioso, a vítima era redirecionada inicialmente para um endereço hospedado em storage.cloud.google[.]com, outro serviço legítimo do Google Cloud. Em seguida, o fluxo levava para conteúdos hospedados em googleusercontent[.]com, onde era apresentada uma falsa verificação CAPTCHA técnica usada para bloquear scanners automatizados e ferramentas de segurança.

Após essa etapa, o usuário era encaminhado para uma página falsa de login do Microsoft 365, hospedada fora dos domínios oficiais da Microsoft. Nesse ponto, qualquer credencial inserida era capturada pelos hackers, caracterizando o objetivo final da campanha: roubo de credenciais corporativas.

Atualização: OAuth phishing e abuso de múltiplas nuvens

Segundo novas análises divulgadas pela xorlab e pela Ravenmail, a campanha também incorporou técnicas de OAuth consent phishing. Nesse cenário, as vítimas eram induzidas a conceder permissões a um aplicativo malicioso no Azure AD, permitindo acesso persistente a recursos em nuvem, como VMs, storage, bancos de dados e assinaturas do Azure, mesmo após troca de senha.

Além disso, páginas falsas de login também foram hospedadas em buckets do Amazon S3, ampliando o uso de infraestruturas confiáveis como Google, Microsoft e AWS em diferentes estágios do ataque. Essa estratégia distribuída torna a detecção extremamente complexa, já que nenhum ponto isolado do fluxo parece, à primeira vista, malicioso.

Resposta do Google

Em resposta às descobertas, o Google informou que bloqueou o abuso da funcionalidade de envio de e-mails no Application Integration e que está implementando medidas adicionais para evitar novos usos indevidos. O caso reforça como recursos legítimos de automação em nuvem podem ser transformados em vetores de ataque altamente eficazes quando explorados por hackers.

THN