Uma campanha de phishing de grande escala tem sido identificada por pesquisadores de segurança, utilizando convites de eventos falsos como isca para organizações nos Estados Unidos e potencialmente globalmente. Diferente de ataques tradicionais que dependem de anexos suspeitos ou links óbvios, esta operação se disfarça como um convite legítimo para uma festa ou reunião corporativa. O objetivo principal é roubar credenciais de login, interceptar códigos de autenticação de um único uso (OTP) ou instalar software de gerenciamento remoto (RMM) sem o conhecimento do usuário.
Como o ataque se desenrola passo a passo
A engenharia social empregada nesta campanha é notavelmente sofisticada. A vítima recebe um e-mail contendo um link que aparenta ser um convite para um evento. Ao clicar, o usuário é direcionado para uma página que simula um portal de eventos legítimo. Para aumentar a credibilidade, a página frequentemente inclui um desafio CAPTCHA, geralmente servido através do Cloudflare, que dá uma aparência de legitimidade e segurança ao site.
Após passar pela verificação do CAPTCHA, o ataque bifurca em duas variantes principais. Na primeira, voltada para o roubo de credenciais, a página apresenta um formulário de login que solicita ao usuário que autentique seu serviço de e-mail de escolha. Se o usuário selecionar o Google, ele é redirecionado para um formulário de autorização do Google falsificado, mas convincente. As credenciais são então enviadas via requisições POST para endpoints do servidor atacante, incluindo /pass.php e /mlog.php.
Para todos os outros serviços de e-mail, a página coleta o endereço de e-mail e a senha, mas deliberadamente exibe uma mensagem de "Senha Incorreta" para forçar o usuário a inserir seus dados novamente, capturando assim duas tentativas de senha. Uma vez que o usuário insere um código OTP, ele também é silenciosamente encaminhado para o atacante.
Na segunda variante, focada na entrega de software malicioso, a página de convite falso inicia o download de ferramentas legítimas de gerenciamento remoto, como ScreenConnect, ITarian, Datto RMM, ConnectWise ou LogMeIn Rescue. Alguns sites incluem um botão de download explícito, enquanto outros iniciam o download automaticamente. Como essas são ferramentas amplamente utilizadas e legítimas, o software de segurança pode não tratar a instalação como uma ameaça imediata.
Evidências e limites da campanha
Os pesquisadores da ANY.RUN foram dos primeiros a documentar o escopo completo desta operação. Em 22 de abril de 2026, analistas identificaram a campanha de phishing voltada para credenciais de serviço de e-mail. Até 27 de abril, quase 160 links suspeitos haviam sido submetidos à sandbox da ANY.RUN, com cerca de 80 domínios de phishing identificados, a maioria registrada sob o domínio de topo .de a partir de dezembro de 2025.
A campanha demonstra sinais de ser construída para escala. Os atores de ameaças parecem utilizar uma ferramenta de phishing reutilizável para criar rapidamente novos sites de isca com tema de eventos. Alguns elementos das páginas sugerem geração de conteúdo assistida por IA, o que significa que a superfície de ataque pode se expandir rapidamente enquanto a estrutura subjacente permanece consistente o suficiente para detecção.
Os setores mais afetados incluem Educação, Bancário, Governo, Tecnologia e Saúde. Esses setores dependem fortemente do acesso ao e-mail e ferramentas de administração remota, tornando-os alvos atraentes para atacantes que buscam se misturar. Um único login roubado em qualquer um desses ambientes pode abrir portas muito além de uma única caixa de entrada.
Medidas de mitigação recomendadas
Equipes de segurança podem usar padrões de infraestrutura compartilhados para caçar domínios relacionados antes que um incidente se configure. Todas as páginas de phishing nesta campanha seguem uma cadeia de solicitação previsível: uma solicitação GET para a raiz, seguida por solicitações para /favicon.ico, /blocked.html e um caminho de imagem correspondendo a /Image/*.png. Analistas podem executar a consulta url:"/blocked.html" AND url:"/favicon.ico" and url:"/Image/*.png" em plataformas de inteligência de ameaças para revelar domínios conectados.
Além da caça, as organizações se beneficiam mais ao obter visibilidade mais cedo na cadeia, antes que as credenciais sejam usadas ou uma ferramenta remota ganhe pé. Analisar links suspeitos em um ambiente sandboxed permite às equipes confirmar se uma página é um convite falso, um formulário de credenciais ou uma página de entrega de RMM antes que qualquer dado do usuário esteja em risco.
Indicadores de Comprometimento (IoCs)
Os seguintes indicadores foram identificados e devem ser monitorados em plataformas de segurança:
- Padrão de URL:
hxxps://<phish_site>/<url-pattern>/Image/office360.png(Ícone para Office 365) - Padrão de URL:
hxxps://<phish_site>/<url-pattern>/blocked.html(Página bloqueada compartilhada) - Padrão de URL:
hxxps://<phish_site>/<url-pattern>/processmail.php(Endpoint de envio de credenciais) - Domínio:
festiveparty[.]us(Domínio de phishing com tema de evento) - Domínio:
getceptionparty[.]de(Domínio de phishing com tema de evento) - Hash SHA-256:
887bc414bdb32b83dcfccdd3c688e90d9a87a0033e3756a840f9bdd2d65...(Ícone office360.png)
O que os CISOs devem fazer imediatamente
Recomenda-se que as organizações revisem seus filtros de e-mail para detectar padrões de links suspeitos e eduquem os usuários sobre a verificação de remetentes, mesmo em convites que pareçam legítimos. A implementação de autenticação multifator (MFA) robusta, preferencialmente baseada em hardware ou aplicativos, é crucial para mitigar o impacto de credenciais roubadas. Além disso, a monitoração de tráfego de saída para domínios desconhecidos e a análise de comportamento de endpoints para instalações não autorizadas de ferramentas de RMM são essenciais para a detecção precoce.