Pesquisadores em cibersegurança revelaram detalhes de uma campanha de phishing que explora o serviço Application Integration do Google Cloud para enviar e-mails que imitam mensagens legítimas geradas pelo Google.
Segundo a Check Point, os atacantes abusam da confiança associada à infraestrutura do Google Cloud para disparar mensagens a partir do endereço oficial “noreply-application-integration@google[.]com”.
Essa técnica permite que os e-mails contornem filtros tradicionais de segurança, aumentando as chances de chegarem à caixa de entrada dos usuários.
As mensagens falsas simulam notificações empresariais comuns, como alertas de caixa postal ou solicitações de acesso a arquivos, tornando-se legítimas e confiáveis aos olhos das vítimas, segundo a empresa de segurança.
Durante um período de 14 dias, em dezembro de 2025, foram enviados 9.394 e-mails de phishing para cerca de 3.200 clientes-alvo, abrangendo organizações dos Estados Unidos, Ásia-Pacífico, Europa, Canadá e América Latina.
No centro da campanha está o uso indevido da funcionalidade “Send Email” do Application Integration, que permite o envio de notificações personalizadas.
Embora o Google limite o envio a até 30 destinatários por tarefa, os atacantes enviaram e-mails para endereços arbitrários, aproveitando essa automação legítima para disparar mensagens a partir de domínios controlados pela Google, burlando as verificações de DMARC e SPF.
Além disso, os e-mails seguem o padrão visual e a linguagem típicos das notificações do Google, reforçando a sensação de autenticidade.
O conteúdo frequentemente menciona mensagens de voz ou acesso a arquivos compartilhados, como documentos etiquetados “Q4”, incentivando os destinatários a clicar em links maliciosos e agir rapidamente.
A sequência do ataque envolve várias etapas de redirecionamento: ao clicar no link da mensagem, a vítima é direcionada a um serviço confiável do Google Cloud (storage.cloud.google[.]com), que redireciona para um conteúdo hospedado em googleusercontent[.]com.
Nesse ponto, é apresentado um CAPTCHA falso que bloqueia ferramentas automatizadas de análise, mas permite a passagem de usuários reais.
Após essa verificação, o usuário é levado a uma página falsa de login da Microsoft hospedada em um domínio não oficial, onde as credenciais inseridas são roubadas pelos criminosos.
Em resposta, o Google bloqueou o abuso do recurso de notificações por e-mail no Application Integration e informou que está adotando medidas adicionais para evitar novos casos.
A análise da Check Point identificou que a campanha tem como principais alvos setores como manufatura, tecnologia, finanças, serviços profissionais e varejo.
No entanto, outras áreas — como mídia, educação, saúde, energia, governo, turismo e transporte — também foram atingidas.
Esses setores costumam depender de notificações automáticas, documentos compartilhados e fluxos de permissões, o que torna os alertas com a marca Google ainda mais convincentes.
Essa campanha expõe como atacantes podem explorar funcionalidades legítimas de automação em nuvem para distribuir phishing em larga escala, sem recorrer ao spoofing tradicional.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...