📰 Informação fresquinha chegando para você!
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética divulgaram detalhes de uma campanha de phishing que envolve os invasores se passando por mensagens legítimas geradas pelo Google, abusando do serviço de integração de aplicativos do Google Cloud para distribuir e-mails.
A atividade, disse a Check Point, aproveita a confiança associada à infraestrutura do Google Cloud para enviar mensagens de um endereço de e-mail legítimo (“noreply-application-integration@google[.]com”) para que possam contornar os filtros tradicionais de segurança de e-mail e ter uma melhor chance de chegar às caixas de entrada dos usuários.
“Os e-mails imitam notificações corporativas de rotina, como alertas de correio de voz e acesso a arquivos ou solicitações de permissão, fazendo com que pareçam normais e confiáveis para os destinatários”, disse a empresa de segurança cibernética.
Foram observados invasores enviando 9.394 e-mails de phishing direcionados a aproximadamente 3.200 clientes durante um período de 14 dias observado em dezembro de 2025, com as organizações afetadas localizadas nos EUA, Ásia-Pacífico, Europa, Canadá e América Latina.
No centro da campanha está o abuso da tarefa “Enviar e-mail” do Application Integration, que permite aos usuários enviar notificações por e-mail personalizadas a partir de uma integração. O Google observa em sua documentação de suporte que apenas um máximo de 30 destinatários podem ser adicionados à tarefa.
O fato de esses e-mails poderem ser configurados para serem enviados para qualquer endereço de e-mail arbitrário demonstra a capacidade do agente da ameaça de usar indevidamente um recurso de automação legítimo em seu benefício e enviar e-mails de domínios de propriedade do Google, ignorando efetivamente as verificações DMARC e SPF.
“Para aumentar ainda mais a confiança, os e-mails seguiram de perto o estilo e a estrutura de notificação do Google, incluindo formatação e linguagem familiares”, disse Check Point. "As iscas geralmente fazem referência a mensagens de correio de voz ou afirmam que o destinatário recebeu acesso a um arquivo ou documento compartilhado, como acesso a um arquivo 'Q4', solicitando que os destinatários cliquem em links incorporados e tomem medidas imediatas."
A cadeia de ataque é um fluxo de redirecionamento de vários estágios que começa quando um destinatário de e-mail clica em um link hospedado em storage.cloud.google[.]com, outro serviço confiável do Google Cloud. O esforço é visto como mais um esforço para diminuir a suspeita do usuário e dar-lhe uma aparência de legitimidade.
O link então redireciona o usuário para o conteúdo servido por googleusercontent[.]com, apresentando-lhes um CAPTCHA falso ou verificação baseada em imagem que atua como uma barreira, impedindo que scanners automatizados e ferramentas de segurança examinem a infraestrutura de ataque, ao mesmo tempo que permite a passagem de usuários reais.
Assim que a fase de validação for concluída, o usuário é levado a uma página de login falsa da Microsoft hospedada em um domínio que não é da Microsoft, roubando, em última análise, quaisquer credenciais inseridas pelas vítimas.
Em resposta às descobertas, o Google bloqueou os esforços de phishing que abusam do recurso de notificação por e-mail no Google Cloud Application Integration, acrescentando que está tomando mais medidas para evitar novos usos indevidos.
A análise da Check Point revelou que a campanha teve como alvo principal os setores industrial, tecnológico, financeiro, de serviços profissionais e retalhista, embora outros setores verticais da indústria, incluindo meios de comunicação, educação, saúde, energia, governo, viagens e transportes, tenham sido destacados.
“Esses setores geralmente dependem de notificações automatizadas, documentos compartilhados e fluxos de trabalho baseados em permissão, tornando os alertas da marca Google especialmente convincentes”, acrescentou. “Esta campanha destaca como os invasores podem usar indevidamente os recursos legítimos de automação e fluxo de trabalho da nuvem para distribuir phishing em escala, sem a falsificação tradicional”.
A atividade, disse a Check Point, aproveita a confiança associada à infraestrutura do Google Cloud para enviar mensagens de um endereço de e-mail legítimo (“noreply-application-integration@google[.]com”) para que possam contornar os filtros tradicionais de segurança de e-mail e ter uma melhor chance de chegar às caixas de entrada dos usuários.
“Os e-mails imitam notificações corporativas de rotina, como alertas de correio de voz e acesso a arquivos ou solicitações de permissão, fazendo com que pareçam normais e confiáveis para os destinatários”, disse a empresa de segurança cibernética.
Foram observados invasores enviando 9.394 e-mails de phishing direcionados a aproximadamente 3.200 clientes durante um período de 14 dias observado em dezembro de 2025, com as organizações afetadas localizadas nos EUA, Ásia-Pacífico, Europa, Canadá e América Latina.
No centro da campanha está o abuso da tarefa “Enviar e-mail” do Application Integration, que permite aos usuários enviar notificações por e-mail personalizadas a partir de uma integração. O Google observa em sua documentação de suporte que apenas um máximo de 30 destinatários podem ser adicionados à tarefa.
O fato de esses e-mails poderem ser configurados para serem enviados para qualquer endereço de e-mail arbitrário demonstra a capacidade do agente da ameaça de usar indevidamente um recurso de automação legítimo em seu benefício e enviar e-mails de domínios de propriedade do Google, ignorando efetivamente as verificações DMARC e SPF.
“Para aumentar ainda mais a confiança, os e-mails seguiram de perto o estilo e a estrutura de notificação do Google, incluindo formatação e linguagem familiares”, disse Check Point. "As iscas geralmente fazem referência a mensagens de correio de voz ou afirmam que o destinatário recebeu acesso a um arquivo ou documento compartilhado, como acesso a um arquivo 'Q4', solicitando que os destinatários cliquem em links incorporados e tomem medidas imediatas."
A cadeia de ataque é um fluxo de redirecionamento de vários estágios que começa quando um destinatário de e-mail clica em um link hospedado em storage.cloud.google[.]com, outro serviço confiável do Google Cloud. O esforço é visto como mais um esforço para diminuir a suspeita do usuário e dar-lhe uma aparência de legitimidade.
O link então redireciona o usuário para o conteúdo servido por googleusercontent[.]com, apresentando-lhes um CAPTCHA falso ou verificação baseada em imagem que atua como uma barreira, impedindo que scanners automatizados e ferramentas de segurança examinem a infraestrutura de ataque, ao mesmo tempo que permite a passagem de usuários reais.
Assim que a fase de validação for concluída, o usuário é levado a uma página de login falsa da Microsoft hospedada em um domínio que não é da Microsoft, roubando, em última análise, quaisquer credenciais inseridas pelas vítimas.
Em resposta às descobertas, o Google bloqueou os esforços de phishing que abusam do recurso de notificação por e-mail no Google Cloud Application Integration, acrescentando que está tomando mais medidas para evitar novos usos indevidos.
A análise da Check Point revelou que a campanha teve como alvo principal os setores industrial, tecnológico, financeiro, de serviços profissionais e retalhista, embora outros setores verticais da indústria, incluindo meios de comunicação, educação, saúde, energia, governo, viagens e transportes, tenham sido destacados.
“Esses setores geralmente dependem de notificações automatizadas, documentos compartilhados e fluxos de trabalho baseados em permissão, tornando os alertas da marca Google especialmente convincentes”, acrescentou. “Esta campanha destaca como os invasores podem usar indevidamente os recursos legítimos de automação e fluxo de trabalho da nuvem para distribuir phishing em escala, sem a falsificação tradicional”.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #criminosos #cibernéticos #abusam #do #recurso #de #email #do #google #cloud #em #campanha #de #phishing #em #vários #estágios
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário