Hackers exploram confiança no Google Cloud para roubo de credenciais corporativas

Pesquisadores revelaram os detalhes de uma campanha avançada de phishing na qual hackers exploraram um recurso legítimo do Google Cloud para enviar e-mails falsos que se passam por notificações oficiais do próprio Google. A técnica permitiu que as mensagens fossem distribuídas a partir de um endereço legítimo noreply-application-integration@google[.]com aumentando drasticamente a taxa de sucesso do golpe ao contornar filtros tradicionais de segurança de e-mail.

De acordo com a Check Point, os invasores abusaram do serviço Application Integration, mais especificamente da funcionalidade “Send Email”, criada para automações corporativas. Embora o recurso tenha sido projetado para facilitar notificações internas, os hackers conseguiram configurá-lo para enviar mensagens a endereços arbitrários, explorando a confiança associada à infraestrutura do Google para burlar mecanismos como DMARC e SPF.

E-mails legítimos na aparência, maliciosos na prática

Os e-mails simulavam notificações corporativas comuns, como alertas de correio de voz, solicitações de acesso a arquivos ou permissões para documentos compartilhados por exemplo, um suposto arquivo “Q4”. O visual, a linguagem e a estrutura seguiam fielmente o padrão das comunicações oficiais do Google, o que reduziu a desconfiança das vítimas e aumentou a taxa de cliques.

Durante um período de 14 dias em dezembro de 2025, foram enviados 9.394 e-mails de phishing, atingindo cerca de 3.200 organizações em regiões como Estados Unidos, Europa, Canadá, América Latina e Ásia-Pacífico. Entre os setores mais afetados estão manufatura, tecnologia, finanças, serviços profissionais e varejo, embora áreas como educação, saúde, governo, energia e transporte também tenham sido impactadas.

Cadeia de ataque em múltiplas etapas e infraestrutura confiável

O ataque não se limitava ao e-mail. Ao clicar no link malicioso, a vítima era redirecionada inicialmente para um endereço hospedado em storage.cloud.google[.]com, outro serviço legítimo do Google Cloud. Em seguida, o fluxo levava para conteúdos hospedados em googleusercontent[.]com, onde era apresentada uma falsa verificação CAPTCHA técnica usada para bloquear scanners automatizados e ferramentas de segurança.

Após essa etapa, o usuário era encaminhado para uma página falsa de login do Microsoft 365, hospedada fora dos domínios oficiais da Microsoft. Nesse ponto, qualquer credencial inserida era capturada pelos hackers, caracterizando o objetivo final da campanha: roubo de credenciais corporativas.

Atualização: OAuth phishing e abuso de múltiplas nuvens

Segundo novas análises divulgadas pela xorlab e pela Ravenmail, a campanha também incorporou técnicas de OAuth consent phishing. Nesse cenário, as vítimas eram induzidas a conceder permissões a um aplicativo malicioso no Azure AD, permitindo acesso persistente a recursos em nuvem, como VMs, storage, bancos de dados e assinaturas do Azure, mesmo após troca de senha.

Além disso, páginas falsas de login também foram hospedadas em buckets do Amazon S3, ampliando o uso de infraestruturas confiáveis como Google, Microsoft e AWS em diferentes estágios do ataque. Essa estratégia distribuída torna a detecção extremamente complexa, já que nenhum ponto isolado do fluxo parece, à primeira vista, malicioso.

Resposta do Google

Em resposta às descobertas, o Google informou que bloqueou o abuso da funcionalidade de envio de e-mails no Application Integration e que está implementando medidas adicionais para evitar novos usos indevidos. O caso reforça como recursos legítimos de automação em nuvem podem ser transformados em vetores de ataque altamente eficazes quando explorados por hackers.

THN