Pesquisadores de segurança identificaram uma campanha sofisticada onde cibercriminosos estão abusando de domínios confiáveis do Google para esconder links de phishing e enganar gateways de segurança de e-mail. A técnica utiliza a reputação positiva dos serviços da gigante de tecnologia para garantir que as mensagens maliciosas cheguem à caixa de entrada das vítimas sem serem barradas por filtros automatizados.

Como funciona a “Matriz de Entrega Aninhada”

A campanha se destaca pelo uso de uma cadeia de redirecionamentos legítimos que oculta o destino final malicioso até o momento do clique. Os atacantes combinam três serviços específicos do ecossistema Google em sequência:

  1. O fluxo começa em meet.google.com/linkredirect.
  2. Segue para o redirecionador de busca em google.com/url.
  3. Passa por adservice.google.com.ph antes de finalmente atingir a página controlada pelos criminosos.

Como todos esses domínios são considerados seguros por padrão, os filtros de segurança tendem a ignorar a ameaça, permitindo que o link chegue ao usuário final.

Temas de Engenharia Social Utilizados

Os e-mails identificados na campanha utilizam temas comuns e urgentes para induzir o clique, explorando a confiança do usuário em processos corporativos rotineiros. Entre as iscas observadas estão:

  • Atualizações de entrega simulando a FedEx;
  • Solicitações de assinatura via DocuSign e AutoSign;
  • Avisos de expiração de senha do Microsoft 365;
  • Comprovantes de pagamento falsos e mensagens contendo QR Codes maliciosos.

O Perigo do Bypass de MFA

Além do roubo tradicional de credenciais, este método é particularmente perigoso por sua capacidade de contornar a autenticação multifator (MFA) em certos fluxos de acesso. Em vez de apenas capturar o usuário e a senha, os criminosos utilizam a sessão para induzir a vítima a autorizar o próprio dispositivo controlado pelo atacante como um dispositivo confiável.

Recomendações de Segurança

Para mitigar o risco dessa ameaça, a SecureByte recomenda as seguintes medidas:

  • Treinamento de Conscientização: Instrua colaboradores a desconfiarem de redirecionamentos excessivos, mesmo que o link inicial pareça vir de um domínio conhecido como o Google.
  • Inspeção de URL: Antes de interagir com uma página de login, verifique se a URL final no navegador corresponde ao serviço legítimo esperado.
  • Políticas de Acesso Condicional: Implemente regras rigorosas para o registro de novos dispositivos e métodos de MFA, exigindo verificações adicionais para autorizações de novos navegadores.
  • Segurança de E-mail: Utilize soluções de Email Security Gateway (ESG) que realizem a análise dinâmica de links (sandboxing) no momento do clique, e não apenas na chegada do e-mail.