Nas últimas semanas, surgiu uma onda de intrusões que combina o antigo artesanato do engano telefônico com ferramentas de phishing muito sofisticadas, e cujo objetivo não é tomar uma única conta isolada, mas abrir a porta para todo o ecossistema cloud de uma empresa. Pesquisadores do Mandiant e da equipe de inteligência do Google vêm rastreando várias campanhas que, segundo sua análise, aproveitam chamadas dirigidas - o conhecido vishing - e portais falsos com a marca da empresa para roubar credenciais de início único (SSO) e códigos ou aprobações da autenticação multifator (MFA). Você pode consultar o relatório público que descreve esta atividade no blog do Google Cloud aqui.
O modus operandi combina dois elementos: por um lado, o atacante contacta a vítima fazendo passar por pessoal de TI ou suporte; por outro, a dirige a uma página de acesso que imita exatamente o portal corporativo. Empresas de identidade como Okta Eles têm mostrado como os kits de phishing evoluíram para incorporar diálogos interativos que guiam o atacante e a vítima em tempo real durante a chamada, o que facilita receber as credenciais e manipular as respostas de MFA enquanto o empregado segue na linha.
Uma vez que o delinquente tem acesso a uma conta SSO — por exemplo em Okta, Microsoft Entra ou Google — o panorama muda radicalmente: a partir desse painel central pode-se chegar a dezenas de aplicativos na nuvem que o usuário tem autorizado. Documentos no Salesforce, caixas e arquivos no Microsoft 365 e SharePoint, contratos em DocuSign, arquivos no Dropbox ou Google Drive, canais do Slack e espaços em Atlassian são objetivos habituais. Para grupos centrados no roubo e na extorsão, esse tabuleiro atua como uma rampa de lançamento para copiar grandes volumes de dados com uma única conta comprometida.
As equipes que investigam essas campanhas têm categorizado vários agrupamentos de atores. Mandiant fala de clusters identificados como UNC6661, UNC6671 e da banda extorsionista conhecida como ShinyHunters (por vezes referida como UNC6240). Em alguns incidentes, o acesso inicial e a exfiltração parecem obra de um grupo oportunista, e as demandas de resgate posteriores são reclamadas por ShinyHunters ou por afiliados que replicam a técnica. BleepingComputer foi um dos meios que adiantou detalhes sobre as chamadas fingindo ser suporte corporativo; sua crônica oferece contexto sobre como se desenvolvem as chamadas e as páginas falsas, e pode ser consultada aqui.
Os pesquisadores publicaram indícios técnicos que permitem identificar atividade maliciosa após a intrusão. Entre eles aparecem registros de downloads em massa do SharePoint ou OneDrive onde o agente do usuário é o PowerShell, o início de sessão para o Salesforce desde endereços IP ligados aos atacantes e downloads em massa em DocuSign. Em pelo menos um caso, os intrusos ativaram um complemento do Google Workspace chamado ToogleBox Recall para procurar e apagar e-mails que delacionam a inscrição de um novo método MFA, uma manobra destinada a que a vítima não receba as notificações que poderiam alertar; a função desse complemento está descrita no site do fornecedor aqui.
Os domínios fraudulentos costumam registar-se com nomes que simulam portais legítimos da empresa: variantes com palavras como "sso", "internal", "support" ou mesmo combinações que incluem nomes de fornecedores de identidade para ganhar credibilidade. Mandiant tem observado registros através de entidades registradoras e o uso de redes de proxy residencial ou VPN comerciais para esconder a proveniência das conexões, algo que complica o bloqueio imediato por IP.
Do ponto de vista de detecção, os especialistas recomendam priorizar a identificação de padrões comportamentais mais do que depender apenas de listas de bloqueio. Comportamentos como um compromisso de SSO seguido de downloads rápidos ou massivos de várias aplicações SaaS, a presença de PowerShell acessando o SharePoint e o OneDrive, autorizações OAuth inesperadas em aplicativos de terceiros e a remoção de e-mails de notificação sobre mudanças de MFA são sinais que deveriam ativar pesquisas mais profundas.
Mandiant publicou recomendações práticas para endurecer os fluxos de identidade, assegurar os processos de restauração de autenticação e melhorar o registro de telemetria para poder detectar atividade pós-vishing antes de o roubo de dados ser completado. Também colocaram regras para plataformas de operações de segurança que podem ajudar a encontrar indicadores relacionados com ShinyHunters; um resumo dessas regras para o Google SecOps está disponível nesta ligação.
Para as empresas, a lição central é que a MFA já não é uma panaceia por si só: quando os atacantes controlam o diálogo social e apresentam interfaces convincentes em tempo real, podem persuadir um empregado a entregar o que é necessário para inscrever um dispositivo adversário ou aprovar um acesso. Por isso, além de manter MFA, convém endurecer os procedimentos de suporte por telefone, exigir verificações adicionais nas mudanças de métodos de autenticação e monitorar de perto qualquer registro de autorização OAuth ou inscrições de novos dispositivos MFA.
No campo operacional, convém rever as políticas de acesso de aplicações SaaS para limitar permissões ao mínimo necessário, ativar alertas ante padrões anormais de descarga e conservar registros longos de auditoria que permitam reconstruir a atividade. A coordenação entre equipes de segurança, identity providers e administradores das aplicações na nuvem é imprescindível para reduzir a janela de exposição quando uma conta é comprometida.
A campanha lançada por ShinyHunters e agentes associados mostra como a segurança empresarial deve ser adaptada a ataques híbridos que misturam engenharia social e automação técnica. Entender o caminho que segue o atacante – a chamada de vishing, o portal falsificado, a captura de credenciais, a manipulação de MFA e o uso do SSO como alavanca – ajuda a projetar controles que, em conjunto, irão fechar muitas das rotas de acesso que hoje estão sendo exploradas.
Se você quer aprofundar os achados e recomendações concretas para defensores, o relatório e os guias de Mandiant e Google Cloud são um bom ponto de partida; a pesquisa principal está no blog do Google Cloud publicada por Mandiant/Google, e Okta compartilha análise sobre a evolução dos kits de phishing interativos em seu blog de inteligência. Para um resumo jornalístico dos primeiros casos públicos, você pode ler a cobertura BleepingComputer.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...