Pesquisadores em segurança identificaram uma tática limpa e efetiva para que campanhas de phishing passem desapercibidas: aproveitar plataformas de criação de aplicativos sem código, como Bubble, para construir e hospedar páginas maliciosas que simulam os portais de login da Microsoft. O relatório Kaspersky Saiba como este método explora a confiança que geram domínios legítimos e a complexidade do código gerado automaticamente.
Bubble é uma plataforma que permite criar aplicativos sem escrever código, apoiando-se em inteligência artificial para gerar a interface e a lógica. As aplicações resultantes costumam ficar sob o domínio *.bubble.io, um espaço considerado legítimo por muitas soluções de segurança perimetral. Essa aparente legitimidade faz com que os links incluídos em e-mails maliciosos não se marquem automaticamente como perigosos, e assim o usuário chega a uma página que em aparência não desperta suspeitas.
A técnica não se baseia apenas no uso de um domínio confiável. Os atacantes criam aplicações com grandes pacotes de JavaScript e estruturas baseadas em Shadow DOM que, por sua complexidade e isolamento, são difíceis de analisar tanto manual como automaticamente. Essa maranha de código pode esconder redireções e formulários falsos destinados a capturar credenciais, e em alguns casos a verdadeira página de suplantação é apresentada após verificações como as que realiza Cloudflare, o que adiciona uma camada adicional de legitimidade aparente.
O perigo real é que qualquer dado internado nessas páginas — utilizador e senha, e em alguns casos códigos ou confirmações secundárias — termina nas mãos dos criminosos. Com credenciais da Microsoft 365 um atacante pode acessar o correio, o calendário e outros serviços corporativos, o que abre a porta para fraudes financeiras, filtragem de informações sensíveis e movimentos laterais dentro da rede de uma organização.
Além disso, os pesquisadores alertam que esta forma de evasão tem todas as cartas para se tornar uma peça padrão dentro de kits de phishing e plataformas de phishing-as-a-service (PhaaS). Esses serviços já integram técnicas como roubo de cookies de sessão, camadas “adversary-in-the-middle” que tentam sortear a autenticação de dois fatores, geo-restrições para selecionar vítimas e truques anti-análises. Ao adicionar a capacidade de esconder páginas maliciosas em infra-estruturas legítimas, a eficácia e o alcance das campanhas aumentam.
Diante deste cenário, nem tudo está perdido: a prevenção e a consciência ainda são ferramentas poderosas. Confirmar o URL real antes de introduzir credenciais, desconfiar de ligações que chegam por e-mail, mesmo que apontem para domínios conhecidos, e usar métodos de autenticação mais robustos como chaves de segurança ou Passkeys reduzem o impacto deste tipo de fraudes. Para organizações, ativar e afinar mecanismos de proteção em plataformas como Microsoft 365 — incluindo soluções de anti-phishing e controles de acesso condicional — é uma barreira adicional recomendada pelos fabricantes.
Se você quer aprofundar como essas campanhas funcionam e quais medidas recomendam os organismos de segurança, os relatórios e guias da Kaspersky são um bom ponto de partida ( ver a análise) e autoridades como a CISA ou NCSC do Reino Unido mantêm recomendações práticas para detectar e relatar phishing. Microsoft também publica guias para proteger ambientes da Microsoft 365 e configurar defesas anti-phishing em sua documentação técnica.
Em paralelo, os responsáveis por plataformas não-code têm por diante um desafio importante: equilibrar a experiência de criação e implantação rápida com controles de abuso mais rigorosos. Alguns meios, como BleepingComputer, tentaram obter a versão de Bubble sobre estes achados, o que sublinha a necessidade de respostas coordenadas entre fornecedores, comunidades de segurança e usuários para que a flexibilidade que essas ferramentas oferecem não se torne uma via fácil para a fraude.
No dia a dia, a melhor defesa ainda é a prudência: olhar com olho crítico os e-mails inesperados, validar links antes de interagir, ativar níveis superiores de verificação e recorrer aos canais oficiais quando algo não se renda. A técnica pode mudar, mas a rotina de verificar antes de confiar ainda é uma das barreiras mais efetivas contra o roubo de credenciais.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...