Cibercriminoso estão abusando de domínios confiáveis do Google para esconder links de phishing e enganar gateways de segurança de e-mail.
A campanha usa uma cadeia de redirecionamentos legítimos para ocultar o destino final malicioso até que a vítima clique na mensagem.
A técnica combina três serviços do Google em sequência: Google Meet, Google Search Redirect e Google Ad Service.
Como todos pertencem ao ecossistema Google, filtros automatizados tendem a considerar os links confiáveis.
O fluxo observado passa por meet.google.com/linkredirect, segue para google.com/url e depois redireciona por adservice.google.com.ph antes de chegar à página controlada pelos criminosos.
Essa estrutura foi descrita como uma matriz de entrega aninhada.
Os e-mails usam temas comuns de engenharia social, como atualizações de entrega da FedEx, solicitações de assinatura via DocuSign e AutoSign, avisos de expiração de senha do Microsoft 365, comprovantes de pagamento falsos e mensagens com QR Codes maliciosos.
Esse método é perigoso porque pode contornar autenticação multifator em alguns fluxos de acesso.
Em vez de roubar apenas usuário e senha, os criminosos induzem a vítima a autorizar o próprio dispositivo controlado pelo atacante.
