Uma nova campanha global de phishing está explorando um recurso legítimo do Google Cloud para enviar e-mails maliciosos que parecem confiáveis e passam por filtros de segurança. Os ataques têm como base a função de envio de mensagens do serviço Google Cloud Application Integration, o que permite que os e-mails partam de endereços legítimos como [[email protected]]. Segundo os pesquisadores, os cibercriminosos criaram fluxos de integração maliciosos que utilizam a funcionalidade de e-mail da plataforma para disparar mensagens com links que direcionam as vítimas a páginas falsas, geralmente cópias de telas de login de serviços como o Microsoft 365.
O objetivo é coletar credenciais corporativas e acessar contas sensíveis. Durante duas semanas em dezembro de 2025, foram registrados mais de 9 mil e-mails maliciosos enviados por esse método, atingindo cerca de 3.200 organizações ao redor do mundo. Os alvos estavam localizados nos Estados Unidos, América Latina, Europa, Ásia-Pacífico e Canadá. Os e-mails enviados imitavam notificações comuns em ambientes corporativos, como avisos de correio de voz, alertas de acesso e compartilhamento de documentos. Ao clicar nos links, os usuários eram levados primeiro a uma página legítima do Google Cloud, usada como intermediária, e depois redirecionados para sites maliciosos com falsos CAPTCHAs, dificultando a análise por ferramentas automáticas.
Após o CAPTCHA, a vítima era conduzida a uma página falsa de login, onde suas credenciais eram coletadas e enviadas aos atacantes. A autenticidade do domínio remetente aumentava a chance de as mensagens passarem despercebidas por sistemas de filtragem e pelos próprios usuários. A técnica explorava o fato de que a funcionalidade de envio de e-mails do Google Cloud Application Integration não exige verificação de domínio para os envios, permitindo que os e-mails fossem entregues com sucesso mesmo sem autenticações como SPF ou DMARC. O Google informou que bloqueou os fluxos maliciosos detectados e está implementando medidas adicionais para evitar que sua infraestrutura continue sendo usada em campanhas semelhantes.
