Em um ataque classificado como "phishing extremamente sofisticado", agentes de ameaças adotaram uma abordagem incomum que permitiu o envio de e-mails falsos através da infraestrutura do Google, redirecionando os destinatários das mensagens para sites fraudulentos que capturavam suas credenciais.
"A primeira coisa a se notar é que este é um email válido e assinado - ele realmente foi enviado de [email protected]," disse Nick Johnson, o desenvolvedor líder do Ethereum Name Service (ENS), em uma série de posts no X.
Ele passa pela verificação de assinatura DKIM, e o Gmail o exibe sem nenhuma advertência – ele até o coloca na mesma conversa que outros alertas de segurança legítimos.
A mensagem de email informa os alvos em potencial sobre uma intimação de uma autoridade policial solicitando conteúdo não especificado presente em sua conta do Google e os insta a clicar em um URL do sites.google[.]com para "examinar os materiais do caso ou tomar medidas para apresentar um protesto".
O URL do Google Sites exibe uma página semelhante que imita a página de suporte legítima do Google e inclui botões para "enviar documentos adicionais" ou "ver caso".
Clicar em qualquer uma das opções leva a vítima a uma página de login da conta Google replicada, a única diferença é que ela está hospedada no Google Sites.
"sites.google.com é um produto legado de antes de o Google levar a segurança a sério; permite aos usuários hospedar conteúdo em um subdomínio google.com, e crucialmente suporta scripts arbitrários e incorporações," disse Johnson.
Obviamente, isso torna trivial a construção de um site para coleta de credenciais; eles simplesmente têm que estar preparados para upload de novas versões à medida que as antigas são retiradas pelo time de abuso do Google.
Ajuda os atacantes que não há como reportar abuso pela interface do Sites, também.
Um aspecto astuto do ataque é o fato de que a mensagem de email tem o cabeçalho "Signed by" configurado como "accounts.google[.]com" apesar de ter um cabeçalho "Mailed by" com um domínio completamente não relacionado ("fwd-04-1.fwd.privateemail[.]com").
A atividade maliciosa foi caracterizada como um ataque de replay DKIM, onde o atacante primeiro cria uma conta Google para um domínio recém-criado ("me@<domain>") e então uma aplicação Google OAuth com o nome que inclui todo o conteúdo da mensagem de phishing.
"Agora eles concedem ao seu aplicativo OAuth acesso à sua conta Google 'me@...'," Johnson disse.
Isso gera uma mensagem de 'Alerta de Segurança' do Google, enviada para o endereço de e-mail 'me@...'.
Como o Google gerou o email, ele é assinado com uma chave DKIM válida e passa por todas as verificações.
O atacante então prossegue ao encaminhar a mesma mensagem de uma conta Outlook, mantendo a assinatura DKIM intacta, e fazendo a mensagem passar pelos filtros de segurança de email, de acordo com a EasyDMARC.
A mensagem é subsequentemente retransmitida por um serviço Simple Mail Transfer Protocol (SMTP) personalizado chamado Jellyfish e recebida pela infraestrutura PrivateEmail da Namecheap que facilita o encaminhamento de emails para a conta Gmail alvo.
"Neste ponto, o email alcança a caixa de entrada da vítima parecendo uma mensagem válida do Google, e todas as verificações de autenticação como SPF, DKIM e DMARC aparecem como aprovadas," disse Gerasim Hovhannisyan, CEO da EasyDMARC.
"Porque eles nomearam sua conta Google 'me@', o Gmail mostra a mensagem como enviada para 'me' no topo, que é a abreviatura que usa quando uma mensagem é endereçada ao seu endereço de e-mail - evitando outro indicativo que poderia levantar bandeiras vermelhas," Johnson apontou.
Quando contactado para comentar, o Google disse que implementou correções para interromper o caminho do abuso e enfatizou que a empresa não solicita credenciais de contas, como senhas ou senhas de uso único, nem faz ligações diretas para os usuários.
"Estamos cientes desta classe de ataque direcionado por este agente de ameaça, e implementamos proteções para fechar esta avenida de abuso," um porta-voz do Google disse.
Enquanto isso, incentivamos os usuários a adotarem autenticação de dois fatores e passkeys, que oferecem uma proteção robusta contra esses tipos de campanhas de phishing.
A revelação vem quase nove meses após a Guardio Labs revelar uma má configuração agora corrigida nas defesas do vendedor de segurança de email Proofpoint que os agentes de ameaça exploraram para enviar milhões de mensagens falsificando várias empresas populares como Best Buy, IBM, Nike e Walt Disney, e burlar medidas de autenticação.
Isso também coincide com um aumento nas campanhas de phishing que fazem uso de anexos no formato Scalable Vector Graphics (SVG) para desencadear a execução de código HTML que, por sua vez, redireciona os usuários para um formulário de login da Microsoft falso ou uma página web falsificada como a Google Voice para induzi-los a inserir suas credenciais.
A empresa russa de cibersegurança Kaspersky disse que observou mais de 4.100 emails de phishing com anexos SVG desde o início de 2025.
"Os phishers estão explorando incansavelmente novas técnicas para contornar a detecção," disse a Kaspersky.
Eles variam suas táticas, às vezes empregando redirecionamento de usuários e ofuscação de texto, e outras vezes, experimentando com diferentes formatos de anexo.
O formato SVG fornece a capacidade de embutir código HTML e JavaScript dentro de imagens, o que é mal utilizado pelos atacantes.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...