Uma campanha de phishing está mirando credenciais da AWS Console com páginas falsas capazes de capturar senhas e códigos de autenticação em tempo real.
O ataque usa a técnica conhecida como adversary-in-the-middle, na qual o site fraudulento fica entre a vítima e o serviço legítimo.
A atividade foi observada pelos pesquisadores entre 16 e 19 de junho de 2026.
Três domínios registrados em curto intervalo foram usados para imitar a página de login da AWS e enganar usuários corporativos.
O golpe começa com mensagens que se passam por comunicações de suporte da AWS.
Em um artefato analisado, o conteúdo citava um falso chamado sobre limitação de banda, tentando convencer a vítima a acessar o link enviado.
Ao abrir a página falsa, o usuário vê uma tela muito parecida com a AWS Console.
Quando informa login, senha e código de autenticação, esses dados são repassados pelos criminosos enquanto a tentativa de acesso real ocorre em paralelo.
O kit também consegue adaptar o fluxo conforme o tipo de autenticação da conta, incluindo código por e-mail, SMS ou aplicativo autenticador.
Isso torna o ataque mais perigoso, já que a presença de MFA tradicional não impede necessariamente o roubo da sessão.
Os operadores usaram serviços legítimos de envio de e-mail, como SendGrid e Nimbu, para melhorar a entrega das mensagens e reduzir bloqueios automáticos.
Os domínios fraudulentos também foram hospedados por trás da Cloudflare.
