Nas últimas semanas, as equipes de inteligência em segurança do Google e do Mandiant descobriram uma onda de ataques direcionados que combinam engenharia social por voz — o chamado vishing — com páginas de suplantação que imitam empresas legítimas para roubar credenciais e códigos de autenticação. O objetivo declarado dos atacantes é acessar aplicativos na nuvem tipo SaaS, extrair informações sensíveis e depois extorsionar as organizações afetadas.
Segundo a análise pública, a atividade é agrupada em vários clusters que os pesquisadores estão monitorando separadamente, sugerindo que podem ser equipes distintas que compartilham táticas ou que uma mesma rede criminosa está diversificando seus métodos. Algumas campanhas foram observadas no início de janeiro de 2026 e todas partem de uma mesma ideia: enganar funcionários fazendo passar por pessoal de suporte ou TI para conseguir que entreguem credenciais e códigos de MFA em páginas fraudulentas que reproduzem a marca da vítima.
O ataque típico começa com uma chamada legítima em aparência, na qual o interlocutor finge ser técnico e pede ao empregado que aceda a uma ligação para “atualizar” sua autenticação. Em muitos casos, os atacantes não se limitam a roubar usuário e senha: registram seu próprio dispositivo para o fator adicional e assim evitam que as medidas de MFA bloqueiam seu acesso. Com essa entrada inicial, os intrusos movem-se lateralmente pelos ambientes corporativos, descarregam dados de serviços como SharePoint ou OneDrive e, por vezes, utilizam contas de e-mail comprometidas para enviar novos e-mails de phishing para contatos de interesse e apagar depois os testes.
Há também evidências de que alguns atores exploraram acessos a plataformas de identidade como Okta e transferiram informações através de programas PowerShell. O padrão inclui, além disso, uma escalada nas técnicas de extorsão: após a sustração de informação chegam as demandas e, em alguns incidentes reportados, assédios dirigidos contra pessoal da organização afetada para pressionar o pagamento.
Os pesquisadores têm observado diferenças operacionais entre grupos: alguns usam um registrador de domínios enquanto outros usam outro diferente para criar as páginas de suplantação, e nem sempre as campanhas de phishing desembocam no mesmo formato de extorsão. Esse detalhe sugere que por trás do rótulo “ShinyHunters” poderia haver múltiplos equipamentos com graus distintos de coordenação, o que complica a atribuição e a resposta.
A razão pela qual essas campanhas são especialmente perigosas é que apontam para as contas de identidade e para as portas de entrada das aplicações na nuvem, onde muitas vezes se armazenam as informações mais valiosas e as comunicações internas. Um acesso persistente a serviços SaaS permite a um atacante coletar dados de forma silenciosa e construir um caso de pressão para pedir resgate.
Diante desse panorama, as equipes de segurança recomendam endurecer os processos de suporte ao usuário e monitorar com especial atenção eventos relacionados à gestão de identidades. O Google Cloud publicou um guia com medidas concretas que incluem exigir verificações de identidade mais sólidas em interações telefônicas ou help desk, limitar os pontos de saída confiáveis e aplicar controles de acesso baseados em dispositivo, entre outras ações. Você pode encontrá-la no blog oficial do Google Cloud: expansão de atividade ligada a ShinyHunters e no artigo de mitigação: recomendações para defender plataformas SaaS.
Não se trata de falhas técnicas nos fornecedores, mas sim da eficácia da engenharia social. Por isso, as autoridades e os especialistas insistem na migração para métodos de autenticação que resistam o phishing: as chaves de segurança FIDO2 e as passkeys reduzem substancialmente a possibilidade de um atacante obter acesso mesmo se conseguir enganar um usuário. Para aprofundar estes padrões você pode visitar a web da FIDO Alliance e o guia técnico do NIST sobre autenticação: NIST SP 800-63B.
Além de adotar autenticadores resistentes a phishing, as organizações devem reforçar o registro e a telemetria: ativar auditorias que detectem inscrições de dispositivos MFA incomuns, mudanças no ciclo de vida de autenticadores e autorizações de OAuth que permitam manipular buzones. A visibilidade sobre ações de identidade e exportações de SaaS é chave para detectar exfiltrações precoces. As agências de segurança pública também oferecem diretrizes práticas contra o phishing que ainda são relevantes para empresas e usuários: por exemplo, o guia do CISA sobre phishing.
No dia a dia, há medidas simples, mas eficazes: desconfiar de pedidos não solicitados que pedem credenciais ou códigos, verificar a identidade do interlocutor por canais distintos à chamada inicial, e evitar o uso de SMS e chamadas como único fator de recuperação. Também é recomendável limitar privilégios, auditar segredos expostos e bloquear gestiones administrativas a partir de locais não confiáveis.
Estes acontecimentos sublinham uma realidade desconfortável: os criminosos evoluem seus métodos para a nuvem e a extorsão, e combinam técnicas técnicas e psicológicas para contornar barreiras de segurança tradicionais. A resposta deve ser igualmente híbrida, misturando tecnologia, processos internos mais estritos e formação contínua do pessoal para reconhecer e relatar tentativas de engano.
Em suma, a ameaça observada em janeiro de 2026 é uma mistura de vishing sofisticado, domínios fraudulentos que imitam marcas e abusos de MFA para persistir em ambientes SaaS, tudo isso encaminhado a extrair informações que depois se usa para extorsionar. Não existe uma solução única, mas as práticas recomendadas por fornecedores e autoridades, juntamente com a adoção de mecanismos de autenticação resistentes ao phishing, reduzem significativamente o risco e a janela de oportunidade destes atacantes.
Alerta de segurança Drupal vulnerabilidade crítica de injeção SQL em PostgreSQL obriga a atualizar imediatamente
Drupal publicou atualizações de segurança para uma vulnerabilidade qualificada como "altamente crítica" que afeta o Drupal Core e permite a um atacante conseguir injeção SQL arb...
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...