Pesquisadores identificaram um kit de phishing em espanhol que tem sido usado desde março de 2025 para capturar credenciais de usuários do Microsoft Outlook. A infraestrutura exfiltra dados via bots do Telegram e webhooks do Discord, e tem sinais técnicos associados a desenvolvimento assistido por IA.
Descoberta e sinais de IA
O relatório citado pela investigação aponta que a campanha foi rastreada após a detecção de uma assinatura única — quatro emojis de cogumelo embutidos na string "OUTL" — e que já apareceu em mais de 75 implantações distintas. Pesquisadores da iniciativa que documentou a operação descrevem variantes que vão de scripts fortemente ofuscados a versões completamente legíveis, com comentários em espanhol e funções nomeadas, características que os autores qualificam como compatíveis com geração de código assistida por IA.
Vetor e mecanismo de coleta
O kit imita a interface de login do Outlook em espanhol. Quando o usuário submete credenciais, o código valida o formato do e‑mail, consulta serviços externos para enriquecer os dados (api.ipify.org e ipapi.co) e empacota as informações no formato padrão usado pelos operadores: "OUTL CORREO: [email] PASSWR: [senha] IP: [ip]" seguido por dados de geolocalização.
Exfiltração e infraestrutura
- Transmissão: POST HTTPS para APIs de bots do Telegram ou endpoints de webhooks do Discord.
- Tática evolutiva: migração parcial para webhooks do Discord, que funcionam como canais write‑only e dificultam a análise forense dos dados exfiltrados.
- Modelo operacional: aparenta um ecossistema de phishing‑as‑a‑service, com infraestrutura compartimentada e convergência nos pontos de exfiltração.
Evidências e limites conhecidos
O trabalho de análise incluiu capturas de rede e desobfuscação de scripts — entre eles um arquivo chamado tlgram.js e uma variante recente batizada de disBLOCK.js — que mostram tanto técnicas anti‑análise quanto versões muito claras do mesmo fluxo. Os pesquisadores apontam que a presença de comentários em espanhol e padrões de formatação limpa são indícios de uso de ferramentas automatizadas para gerar ou padronizar código.
Impacto e risco operacional
Embora não haja indicação pública de exploração direcionada a organizações específicas, a escala (mais de 75 implantações) e a automação do enriquecimento de credenciais representam risco significativo para empresas e usuários finais. Contas de e‑mail corporativas comprometidas podem facilitar fraude, acesso a sistemas internos e movimentos laterais em ambientes empresariais cuja autenticação dependa de credenciais estáticas.
Recomendações práticas
- Habilitar MFA em contas Microsoft e forçar protocolos de segunda etapa (FIDO2/OTP).
- Bloquear ou monitorar solicitações de saída para domínios e APIs conhecidos de enriquecimento de IP (por exemplo, ipify/ipapi) quando originadas de páginas de login internas.
- Inspecionar logs de autenticação e alertar para logins vindos de novos IPs/geolocalizações junto a tentativas de credenciais.
- Educação contínua a usuários sobre páginas de login falsas e verificação de URL/SSL.
Fonte e observações finais
As conclusões acima são derivadas do relatório público apresentado pelos pesquisadores que documentaram a campanha. Faltam dados públicos sobre o operador por trás das implantações e sobre o volume total de credenciais colhidas; os pesquisadores apenas indicam a recorrência da assinatura e a diversidade de variantes.