Phishing se disfarça de entrevista de emprego de grande marca para roubar contas do Google
7 de Julho de 2026

Uma campanha de phishing está se passando por mais de 30 marcas conhecidas, entre elas Adobe, Netflix, Coca-Cola e OpenAI, em falsas entrevistas de emprego para roubar credenciais de contas Google de profissionais de marketing.

A operação abusa da legítima plataforma de recursos humanos PeopleForce, baseada em cloud, e de um domínio associado ao serviço Salesforce Marketing Cloud antes de redirecionar a vítima para uma página maliciosa.

Para aumentar a credibilidade e as chances de sucesso, o threat actor usa nomes e fotos de recrutadores reais das empresas imitadas.

Will Thomas, conselheiro sênior da empresa de inteligência em cibersegurança e caça a ameaças Team Cymru, analisou a campanha e identificou que o e-mail de phishing se apresenta como enviado por “um recrutador em busca de profissionais para vagas de marketing”.

O pesquisador descobriu que o threat actor está usando pelo menos 34 domínios que imitam empresas de alto valor nos seguintes setores:

Companhias aéreas e turismo: American Airlines, Booking.com, Delta Air Lines, United Airlines
Alimentos e bebidas: Coca-Cola, PepsiCo, Red Bull
Moda e bens de luxo: Adidas, Louis Vuitton, Sephora, Levis
Recrutamento, consultoria e tecnologia: Adobe, Aquent, ManpowerGroup, McKinsey & Company, OpenAI
Hotelaria e marketing: Marriott, Omnicom Group
Entretenimento e esportes: FIFA, Netflix

Thomas constatou que a campanha depende de redirecionamentos aninhados, uma técnica que encaminha os visitantes por vários serviços legítimos antes de levá-los à página maliciosa.

O pesquisador observou que, embora os e-mails de phishing pareçam vir da PeopleForce, os links subjacentes resolvem para o domínio exct[.]net, operado pela Salesforce após a aquisição da plataforma de automação de marketing ExactTarget, hoje rebatizada como Salesforce Marketing Cloud.

Em seguida, a ExactTarget redireciona para o Wise Agent, um software de CRM imobiliário baseado em cloud, usado por agentes, equipes e corretores, que então encaminha a vítima para a página de phishing.

A operação está em atividade há pelo menos cinco meses e, inicialmente, usava endereços de e-mail do Outlook com o nome da empresa imitida.

Em um dos e-mails de phishing, que se passava por uma mensagem da recrutadora da Adidas, Paulina Manzo, a vítima era convidada a agendar uma conversa sobre uma possível vaga na empresa.

Ao clicar no link para o calendário, o destinatário era redirecionado para a página de entrada do threat actor, adidas-hiring[.]com.

Para continuar o processo de agendamento com a recrutadora, a vítima em potencial era orientada a fazer login em sua conta Google.

Ao clicar no botão “Continuar com o Google”, surgia uma janela falsa de autenticação do Google, renderizada dentro da própria página de phishing para simular uma autenticação legítima.

Embora o pop-up possa parecer uma janela real do navegador, ele não passa de código HTML e CSS exibido dentro da página de phishing, em uma técnica conhecida como browser-in-the-browser, ou BitB.

Com o uso de ferramentas modernas de desenvolvimento web, o atacante consegue reproduzir todos os elementos de uma janela legítima de autenticação.

Ainda não está claro como o threat actor obteve acesso às plataformas legítimas, mas abusar desses serviços não significa necessariamente que eles tenham sido comprometidos.

Uma possibilidade é a criação de uma conta legítima exclusivamente para a campanha, ou o uso de credenciais comprometidas, o que permite configurar a cadeia de redirecionamento e a página final.

A lista dos domínios identificados nesta campanha de phishing está disponível na análise de Will Thomas no GitHub.

Publicidade

Traçamos um caminho para você ir do zero ao avançado em hacking

Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...