Pesquisadores em cibersegurança revelaram detalhes de uma campanha de phishing que explora o serviço Application Integration do Google Cloud para enviar e-mails que imitam mensagens legítimas geradas pelo Google.
Segundo a Check Point, os atacantes abusam da confiança associada à infraestrutura do Google Cloud para disparar mensagens a partir do endereço oficial “noreply-application-integration@google[.]com”.
Essa técnica permite que os e-mails contornem filtros tradicionais de segurança, aumentando as chances de chegarem à caixa de entrada dos usuários.
As mensagens falsas simulam notificações empresariais comuns, como alertas de caixa postal ou solicitações de acesso a arquivos, tornando-se legítimas e confiáveis aos olhos das vítimas, segundo a empresa de segurança.
Durante um período de 14 dias, em dezembro de 2025, foram enviados 9.394 e-mails de phishing para cerca de 3.200 clientes-alvo, abrangendo organizações dos Estados Unidos, Ásia-Pacífico, Europa, Canadá e América Latina.
No centro da campanha está o uso indevido da funcionalidade “Send Email” do Application Integration, que permite o envio de notificações personalizadas.
Embora o Google limite o envio a até 30 destinatários por tarefa, os atacantes enviaram e-mails para endereços arbitrários, aproveitando essa automação legítima para disparar mensagens a partir de domínios controlados pela Google, burlando as verificações de DMARC e SPF.
Além disso, os e-mails seguem o padrão visual e a linguagem típicos das notificações do Google, reforçando a sensação de autenticidade.
O conteúdo frequentemente menciona mensagens de voz ou acesso a arquivos compartilhados, como documentos etiquetados “Q4”, incentivando os destinatários a clicar em links maliciosos e agir rapidamente.
A sequência do ataque envolve várias etapas de redirecionamento: ao clicar no link da mensagem, a vítima é direcionada a um serviço confiável do Google Cloud (storage.cloud.google[.]com), que redireciona para um conteúdo hospedado em googleusercontent[.]com.
Nesse ponto, é apresentado um CAPTCHA falso que bloqueia ferramentas automatizadas de análise, mas permite a passagem de usuários reais.
Após essa verificação, o usuário é levado a uma página falsa de login da Microsoft hospedada em um domínio não oficial, onde as credenciais inseridas são roubadas pelos criminosos.
Em resposta, o Google bloqueou o abuso do recurso de notificações por e-mail no Application Integration e informou que está adotando medidas adicionais para evitar novos casos.
A análise da Check Point identificou que a campanha tem como principais alvos setores como manufatura, tecnologia, finanças, serviços profissionais e varejo.
No entanto, outras áreas — como mídia, educação, saúde, energia, governo, turismo e transporte — também foram atingidas.
Esses setores costumam depender de notificações automáticas, documentos compartilhados e fluxos de permissões, o que torna os alertas com a marca Google ainda mais convincentes.
Essa campanha expõe como atacantes podem explorar funcionalidades legítimas de automação em nuvem para distribuir phishing em larga escala, sem recorrer ao spoofing tradicional.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...