Um grupo de hackers vinculado a atividades estatais, conhecido como Ghostwriter (também rastreado como UNC1151), lançou uma onda de ataques de phishing direcionados contra usuários do Gmail. A campanha, identificada e documentada pelo CERT Polska (CERT.PL), utiliza e-mails que se disfarçam de alertas de segurança oficiais do Google para enganar os destinatários e fazê-los entregar suas credenciais de login e códigos de autenticação de dois fatores (2fa).
Contexto e evolução da campanha
O grupo Ghostwriter tem um histórico de longo prazo de direcionamento a cidadãos poloneses, focando anteriormente em usuários de serviços de e-mail locais como Onet, Wirtualna Polska e Interia. No entanto, desde março de 2026, o grupo mudou seu foco completamente para contas do Gmail, executando campanhas de alta intensidade, principalmente durante dias úteis, com novos domínios de phishing aparecendo quase diariamente.
Os analistas do CERT Polska observaram que esses ataques visam consistentemente indivíduos em posições proeminentes, incluindo políticos, pesquisadores, jornalistas, servidores públicos e pessoas conectadas a esses grupos por laços familiares ou sociais. O alcance do grupo é deliberadamente amplo; os atacantes nem sempre conhecem o proprietário exato da caixa de entrada alvo e às vezes tentam adivinhar o endereço de e-mail de uma vítima, o que pode resultar em mensagens de phishing chegando a caixas de entrada não relacionadas com nomes semelhantes.
Vetor de ataque e engenharia social
O grupo UNC1151 atinge potenciais vítimas por meio de e-mails fraudulentos projetados para imitar comunicações oficiais de administradores do Gmail. Essas mensagens são geralmente enviadas de contas do Gmail criadas especificamente para este propósito, embora contas comprometidas com nomes de exibição modificados sejam ocasionalmente usadas também.
Os e-mails são escritos em polonês sem erros óbvios e geralmente alertam sobre atividade suspeita, logins não autorizados ou violações de termos de serviço, pressionando os destinatários a agir rapidamente sob a ameaça de suspensão da conta ou exclusão permanente. Uma vez que um alvo clica no link dentro do e-mail, ele é levado a um site falso construído para espelhar exatamente o painel de login do Gmail. Esta página captura o endereço de e-mail e a senha da vítima.
Um desenvolvimento chave nesta campanha, em comparação com operações anteriores que visavam provedores de e-mail poloneses, é a capacidade de também roubar códigos de autenticação de dois fatores. Se um segundo fator for necessário, a página de phishing apresenta um prompt adicional solicitando esse código, permitindo que os atacantes interceptem tanto códigos baseados em SMS quanto aqueles gerados por aplicativos como o Google Authenticator.
Infraestrutura e indicadores de comprometimento
O grupo rotaciona dinamicamente a infraestrutura que usa para hospedar páginas de phishing. As operações envolveram domínios dedicados registrados sob TLDs como .icu, .digital e .top, bem como subdomínios hospedados em plataformas como a Netlify. Os nomes de domínio são cuidadosamente elaborados para se alinhar com o conteúdo da mensagem e o endereço de remetente usado para entrega.
O Ghostwriter também coloca painéis de login falsos em sites comprometidos pertencentes a organizações polonesas, fazendo isso sem alterar a página principal para manter a intrusão oculta tanto para os proprietários do site quanto para visitantes regulares. O CERT.PL recomenda fortemente que os usuários tratem qualquer e-mail que ameace a exclusão ou suspensão da conta como suspeito até que seja verificado.
Indicadores de comprometimento (IoCs)
Os seguintes domínios e infraestrutura foram observados em uso ativo durante a campanha de phishing do Ghostwriter no Gmail, conforme documentado pelo CERT.PL:
- Domínio: mailverify.digital (Domínio de phishing dedicado)
- Domínio: check-mail-verify.biz (Domínio de phishing dedicado)
- Domínio: verify-check.digital (Domínio de phishing dedicado)
- Subdomínio Netlify: monitoring-google-konta.netlify.app (Página de phishing hospedada na Netlify)
- Subdomínio Netlify: konta-weryfikacja.netlify.app (Página de phishing hospedada na Netlify)
- Subdomínio Netlify: service-auth.netlify.app (Página de phishing hospedada na Netlify)
- Endereço de remetente: mailsecurenotify@gmail.com (Exemplo de remetente usado na campanha)
- Endereço de remetente: mailersupport@gmail.com (Exemplo de remetente usado na campanha)
- Endereço de remetente: monitoring.konta@gmail.com (Exemplo de remetente usado na campanha)
Medidas de mitigação recomendadas
Os usuários devem nunca clicar em links em mensagens que referenciem problemas de segurança da conta e devem, em vez disso, ir diretamente ao serviço digitando seu endereço no navegador. O relatório deixa claro que o nome de exibição de um remetente sozinho não pode ser confiável, e qualquer e-mail que faça referência a problemas de segurança da conta merece um escrutínio cuidadoso antes de tomar qualquer ação.
Para equipes de segurança, a monitoração de domínios semelhantes aos listados e a análise de tráfego de e-mail para padrões de phishing que imitam administradores do Gmail são essenciais. A implementação de autenticação multifator baseada em hardware (como FIDO2) pode mitigar o risco de roubo de códigos 2fa via phishing.
Implicações para a segurança corporativa
A natureza direcionada deste ataque, focando em indivíduos em posições proeminentes, sugere uma campanha de inteligência, não financeira. Uma vez que o acesso à caixa de entrada de um alvo é garantido, os atacantes procuram listas de contatos, documentos sensíveis e contas de mídia social vinculadas, que podem então ser tomadas também. Esse padrão de exploração subsequente torna cada comprometimento bem-sucedido muito mais danoso do que uma simples senha roubada.
Organizações devem reforçar a conscientização sobre phishing, especialmente em relação a alertas de segurança que parecem vir de provedores de e-mail confiáveis. A verificação de e-mails suspeitos através de canais secundários e a revisão de logs de acesso para atividades de login incomuns são práticas recomendadas para detectar comprometimentos iniciais.