Descoberta e escopo da campanha
Uma campanha de phishing em larga escala está ativamente direcionando organizações nos Estados Unidos, utilizando convites de eventos falsos como isca para roubar credenciais de login, interceptar senhas de uso único (OTP) ou instalar ferramentas de acesso remoto. A operação está em execução desde pelo menos dezembro de 2025, com pesquisadores rastreando um pool crescente de domínios maliciosos construídos em torno de uma estrutura repetível.
O que torna esta campanha distinta não é apenas sua escala, mas o quão cuidadosamente ela é projetada para parecer normal em cada etapa. Os atacantes utilizam páginas de isca com tema de eventos que se misturam com plataformas legítimas. As vítimas são guiadas por uma verificação de CAPTCHA, muitas vezes alimentada pela Cloudflare, e então mostradas o que parece ser um convite de evento pedindo para fazer login.
Até que a página peça uma senha ou baixe um arquivo, muitos usuários já baixaram a guarda. Pesquisadores da ANY.RUN relataram que a campanha usa uma única estrutura de phishing para implantar sites de isca com tema de evento em massa. Até 27 de abril de 2026, quase 160 links suspeitos vinculados a esta campanha foram submetidos à sandbox da ANY.RUN, juntamente com cerca de 80 domínios de phishing identificados.
Vetor e exploração
A cadeia de ataque segue uma estrutura consistente em todas as sessões observadas: uma verificação de CAPTCHA vem primeiro, seguida por uma página de convite falsa e, em seguida, um formulário de roubo de credenciais ou um download de ferramenta remota. Essa consistência é deliberada, pois dá à operação um fluxo previsível e escalável, ainda que pareça genuíno para as vítimas.
Quando o objetivo é o roubo de credenciais, a página de isca solicita que os usuários façam login usando serviços como Google, Yahoo, AOL ou Microsoft. Após inserir uma senha, a vítima vê uma mensagem falsa de "Senha Incorreta", um truque projetado para coletar uma segunda tentativa no caso de um erro de digitação. A página então envia credenciais capturadas via solicitações POST para endpoints do lado do servidor como /processmail.php, seguido por um formulário de interceptação de OTP que envia códigos de verificação para /process.php.
Para usuários do Gmail, um formulário de autorização do Google falsificado roteia dados de login através de /pass.php e /mlog.php, e verifica um ID de usuário vinculado ao Telegram via /check_telegram_updates.php.
Impacto e alcance
Os setores mais afetados incluem Educação, Bancário, Governo, Tecnologia e Saúde. São indústrias onde o acesso ao e-mail e ferramentas de administração remota fazem parte das operações diárias, tornando-as alvos especialmente atraentes. Um link de phishing, se clicado pela pessoa errada, pode levar a uma caixa de entrada roubada, códigos de verificação interceptados ou uma ferramenta remota executando silenciosamente dentro da rede da organização.
A escala da operação também sugere automação. Alguns elementos da página na campanha sugerem possível geração de conteúdo assistida por IA, o que significa que novos sites de isca podem ser criados rapidamente e com baixo custo. Mesmo assim, a infraestrutura compartilhada deixa padrões que as equipes de segurança podem usar para conectar atividades relacionadas e agir mais rápido.
Medidas de mitigação recomendadas
As equipes de segurança devem monitorar solicitações GET sequenciais atingindo /favicon.ico, /blocked.html e um caminho /Image/*.png como um sinal confiável de que uma sessão de phishing está em andamento. Para entrega de acesso remoto, a campanha impulsiona ferramentas incluindo ScreenConnect, ITarian, Datto RMM, ConnectWise e LogMeIn Rescue, às vezes acionando o download automaticamente sem nenhum clique de botão.
As equipes de segurança devem sinalizar instalações inesperadas de RMM como um indicador potencial e investigar a atividade de rede circundante imediatamente. O uso de consultas de Threat Intelligence como url:"/blocked.html" AND url:"/favicon.ico" and url:"/Image/*.png" pode ajudar a surfear domínios relacionados em plataformas de inteligência de ameaças.
Perguntas frequentes
Como identificar este ataque? Verifique se há solicitações de login após um CAPTCHA em páginas de convite de eventos. Quais setores estão em risco? Educação, bancos, governo, tecnologia e saúde. Como se proteger? Não clique em links de convites não solicitados e verifique a URL antes de inserir credenciais.