Recentemente foi detectada uma campanha de phishing que coloca no ponto de vista às contas de TikTok for Business, e não é um ataque qualquer: os responsáveis têm desenhado a fraude para que as ferramentas automatizadas de segurança não possam analisar as páginas maliciosas e, desse modo, passar despercebidos mais tempo.
De acordo com a equipe que descobriu a operação, os enganos começam com links que redirecionam recursos legítimos - neste caso, a armazenamento na nuvem do Google - e daí encadeiam páginas hospedadas pelo próprio atacante. Esse primeiro passo é importante porque oferece uma sensação de confiança inicial ao usuário e esconde o traço direto para o servidor malicioso. As páginas falsas reproduzem formulários oficiais — como os que pedem programar chamadas comerciais — e solicitam dados básicos para “verificar” que o visitante usa uma conta de empresa.
A armadilha torna-se mais perigosa no próximo passo: Após essa verificação inicial, a vítima é apresentada com um ecrã que parece o formulário de início de sessão real. Essa tela realmente atua como um proxy inverso: intermediária em tempo real entre o usuário e o serviço legítimo, captura credenciais e cookies de sessão, e as envia ao atacante. O resultado é que mesmo os acessos protegidos por autenticação de dois fatores podem ser sequestrados, porque o atacante pode completar a sessão aproveitando a conexão interposta.
Os pesquisadores que analisaram a campanha identificaram um padrão familiar: os domínios utilizados seguem variações com nomes similares e compartilham o mesmo recipiente de armazenamento na nuvem. Além disso, os registros de domínio foram feitos através de um registrador que em outros incidentes tem aparecido em atividades criminosas. Para ampliar a análise técnica e os achados verificados, consultar o relatório técnico publicado pelos descubridores da campanha no blog Push Security, que conecta esta operação com táticas observadas em campanhas prévias.
Outra peça chave do modus operandi é o uso de verificações anti-bot integradas na cadeia de redireções. Tecnologias como Cloudflare Turnstile Permitem distinguir entre navegadores humanos e ferramentas de digitalização automáticas; os atacantes estão a usar para impedir que as defesas automáticas e os investigadores acedam às páginas maliciosas, o que complica a detecção precoce.
Há também uma união perigosa entre serviços: muitas contas de TikTok for Business permitem iniciar sessão através do início de sessão única do Google (SSO). Se um usuário administra sua conta de TikTok com as credenciais do Google, comprometer o acesso do Google pode permitir ao atacante controlar simultaneamente a conta de anúncios e o conteúdo de TikTok. Este vetor amplifica o dano, porque as contas de empresa são especialmente valiosas para campanhas de malvertising, fraude publicitária e difusão de fraudes com aparência legítima.
O padrão observado nesta campanha lembra outras suplantações que usaram páginas que imitam processos de programação de chamadas ou recrutamento para enganar as pessoas. Uma análise detalhada sobre um caso semelhante que abusava de páginas de ofertas de emprego e da cadeia de redireccionamento pode ser lida no relatório publicado por Sublime Security, que mostra como as variantes podem ser multiplicadas e ajustadas constantemente para contornar detecções.
Para os administradores e responsáveis por contas de publicidade e redes sociais, isso levanta vários sinais de alarme. As contas de empresa têm mais alcance e credibilidade pública, pelo que são um objetivo natural para aqueles que procuram distribuir conteúdo malicioso ou manipular campanhas publicitárias. Os atacantes não procuram apenas roubar palavras-passe: buscam controlar canais que depois podem empregar em esquemas de fraude em grande escala.
No que diz respeito às recomendações práticas, é conveniente tomar medidas simples mas contundentes: manter uma atitude céptica em relação a links inesperados, verificar cuidadosamente o domínio antes de introduzir qualquer credencial e desconfiar de comunicações que solicitem verificar contas ou programar chamadas através de formulários não verificados. Além disso, as organizações devem priorizar métodos de autenticação resistentes ao phishing, como as credenciais baseadas em paskeys e chaves FIDO/WebAuthn, que reduzem drasticamente a eficácia dos proxies reversos. O Google e outras plataformas já oferecem guias para adotar paskeys e outros mecanismos de autenticação modernos; a documentação do Google sobre passkeys pode ser um bom ponto de partida: Como utilizar passkeys.
Também é recomendável segmentar papéis e permissões nas contas publicitárias para minimizar o impacto se uma credencial for comprometida, monitorar com ferramentas de detecção de sessão anómala e educar as equipes sobre as armadilhas mais habituais em ofertas de emprego e “invitações comerciais”. Para recursos gerais sobre como evitar o phishing e quais passos seguir após detectar uma tentativa, os guias de organismos oficiais oferecem conselhos úteis e atualizados, por exemplo as publicações da CISA.
Em suma, estamos perante uma campanha que combina engenharia social com técnicas técnicas para bloquear a inspeção automatizada e roubar sessões em tempo real. A recomendação mais sólida é combinar precaução humana com autenticação moderna e políticas de segurança nas plataformas de anúncios, porque isso reduz significativamente a superfície de ataque e dificulta a exploração de contas com alto valor para os criminosos.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...