Pesquisadores de cibersegurança identificaram dois clusters criminosos — conhecidos em múltiplos relatórios como Cordial Spider e Snarky Spider — que estão protagonizando uma mudança preocupante na indústria: ataques de alta velocidade e baixo rastro que operam quase exclusivamente dentro de ambientes SaaS confiáveis. Estas bandas combinam técnicas de engenharia social por voz (vishing) com páginas de phishing tipo adversary-in-the-middle (AiTM) orientadas para capturar credenciais e códigos MFA, o que lhes permite pivotar diretamente fornecedores de identidade e aplicações SaaS conectadas Sem necessidade de comprometer cada serviço separadamente.
O modo de operação descrito pelos analistas é simples e eficaz: primeiro convencem um empregado — muitas vezes fazendo passar por pessoal de suporte técnico — para visitar um URL maliciosa que intercepta a autenticação SSO; depois usam essas credenciais para registrar um dispositivo novo, remover os dispositivos legítimos e suprimir alertas insidiosamente criando regras na bandeja de entrada que removem mensagens de notificação. Após escalar privilégios através de scraping de diretórios internos, os atacantes buscam documentos e relatórios de alto valor em plataformas como Google Workspace, Microsoft SharePoint, HubSpot ou Salesforce, para exfiltrar e, por vezes, extorsionar a vítima. Pesquisas públicas recentes redundam em que essas operações empregam técnicas “living-off-the-land” e proxies residenciais para dificultar a atribuição e evadir filtros básicos de reputação IP.
As implicações são claras: o fornecedor de identidade (IdP) se torna um único ponto de falha. Se os atacantes conseguirem sessões válidas lá, podem mover-se lateralmente por todo o ecossistema SaaS com uma única autenticação, reduzindo sua pegada forense e acelerando o tempo até o impacto. Para organizações de grande dimensão, isto traduz riscos directos à confidencialidade de dados sensíveis, continuidade operacional e exposição regulamentar em matéria de protecção de dados e notificação de lacunas.
Diante desse cenário, as medidas defensivas devem priorizar a proteção do perímetro de identidade e a capacidade de detecção de atividade anómala dentro de SaaS. Entre as práticas mais eficazes encontram-se a adoção de métodos de autenticação resistentes ao phishing (por exemplo FIDO2/WebAuthn e chaves de segurança física), políticas de acesso condicional que avaliem risco por contexto de sessão (localização, dispositivo, comportamento), e a eliminação ou restrição de métodos MFA baseados em códigos SMS ou TOTP se não forem avaliados por controles adicionais. Também é crítico dispor de contas de emergência ("break glass") com controle rigoroso e auditoria, e habilitar retenção e exportação de logs do IdP e das aplicações SaaS para análise forense.
Detectar essas campanhas exige observabilidade específica: monitorar registros de registro de dispositivos novos, mudanças na configuração de MFA, criação de regras de bandeja de entrada, concessão de tokens incomuns e padrões de acesso escalonado entre múltiplos serviços em uma janela curta. A integração de capacidades de Identity Threat Detection and Response (ITDR), CASB e DLP ajuda a correlacionar sinais que separadamente poderiam parecer benignas, mas juntas indicam compromisso. Além disso, bloquear ou rotular tráfego proveniente de proxies residenciais e enriquecer eventos com inteligência sobre infra-estruturas maliciosas reduz falsos negativos.
No plano humano e procedimental convém reforçar os controlos contra vishing: estabelecer procedimentos de verificação para chamadas de suporte (por exemplo, códigos de verificação de chamada saliente ou canais de confirmação alternativos), simular ataques de vishing em programas de sensibilização e preparar exercícios de tabletop que incluam a recuperação de identidades comprometidas e a coordenação com fornecedores SaaS para revogar sessões e credenciais afetadas. Manter canais de comunicação com grupos de intercâmbio sectorial como RH-ISAC e com equipes de resposta externa acelera a detecção e contenção em casos reais; ver recursos gerais de resposta e análise em CrowdStrike e Mandiant, e as notas de inteligência de unidades como Unit 42 em Palo Alto Networks.
Para os responsáveis executivos, a prioridade é entender que a segurança já não é apenas proteger endpoints e redes: a identidade é o novo perímetro. Investir em controles de identidade, visibilidade dentro do stack SaaS e em planos de resposta que considerem exfiltração rápida e extorsão reduzirá tanto a probabilidade como o impacto desses ataques. Finalmente, documentar e testar fluxos de notificação a clientes e reguladores perante uma possível filtragem e disponibilidade de apoio legal e de comunicações é tão importante quanto a remediação técnica.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...