Um novo kit de phishing descoberto está atacando usuários da Amazon Web Services (AWS) ao roubar silenciosamente credenciais de login e códigos de autenticação multifator (MFA) no momento em que a vítima os digita. Diferente de ferramentas mais antigas que capturavam senhas para uso posterior, este kit opera em tempo real, permitindo que os atacantes acessem o console da AWS antes mesmo de a vítima perceber que algo está errado.
O que mudou agora
A campanha, que ocorreu entre 19 e 23 de junho de 2026, marca uma mudança séria na forma como as contas em nuvem são atacadas. O kit utiliza uma técnica chamada adversary-in-the-middle (AiTM), que coloca um relay oculto entre a vítima e a página real de login da AWS. Quando a vítima insere credenciais e um código MFA, tudo é silenciosamente encaminhado para o servidor do atacante, que o repassa para o site real da AWS.
Essa troca em tempo real dá aos atacantes uma breve janela para fazer login usando a sessão roubada antes que ela expire, tornando as proteções de MFA efetivamente inúteis. Analistas do Datadog Security Labs identificaram a campanha e documentaram como ela operou, publicando um relatório compartilhado com a Cyber Security News.
Vetor e exploração
O núcleo deste kit residia em um único arquivo JavaScript embutido na página de login falsa da AWS. Quando uma vítima visitava o site, a página lia um valor criptografado da URL, verificava-o contra o servidor do atacante e só mostrava o formulário de login se o visitante correspondesse a um alvo conhecido. Esse truque impediu que sandboxes de segurança e pesquisadores examinassem o comportamento da página.
Uma vez que as credenciais eram submetidas, o kit as encaminhava para o servidor de phishing, que interagia com o sistema real de login da AWS em segundo plano. O servidor podia apenas determinar qual desafio de MFA mostrar a seguir, seja e-mail, SMS ou senha de uso único baseada no tempo, retransmitindo dados ativamente para o site legítimo da AWS.
Impacto e alcance
O que torna esta campanha distinta é que ela não lançou uma rede ampla. O kit exibia a página de login falsa apenas quando um e-mail válido e pré-verificado aparecia no link, e os pesquisadores recuperaram menos de 50 endereços de destino. A maioria pertencia a engenheiros de software e líderes de engenharia nos Estados Unidos, apontando para uma operação direcionada em vez de phishing em massa.
Além dos três domínios da AWS, os pesquisadores encontraram mais três domínios impersonando a SendGrid, todos registrados na mesma janela de 24 horas através do mesmo registrador. As semelhanças eram claras, incluindo uma estrutura de aplicativo baseada em React, o mesmo método de criptografia de e-mail e suporte idêntico ao MFA em todos os principais tipos de segundo fator.
Medidas de mitigação recomendadas
Para se defender contra essa ameaça, as equipes de segurança devem procurar consultas DNS apontando para os domínios de phishing conhecidos e verificar os logs do AWS CloudTrail para eventos de ConsoleLogin após o contato com esses domínios. Um login bem-sucedido aparecendo logo após o tráfego para um domínio de phishing sugere fortemente que um atacante capturou e reutilizou a sessão de uma vítima.
Tratar o phishing do console da AWS como uma ameaça de alta prioridade é a lição mais clara desta campanha. As organizações devem monitorar ativamente os logs de autenticação e considerar o uso de chaves de segurança física ou MFA baseado em hardware para mitigar os riscos de AiTM.
Perguntas frequentes
Por que o MFA não protegeu contra este ataque?
O ataque AiTM intercepta o código MFA em tempo real enquanto ele é digitado, permitindo que o atacante o use imediatamente para completar o login antes que o código expire. O MFA tradicional não detecta que o código está sendo usado por um intermediário malicioso.
Como identificar se fui vítima?
Verifique os logs de login da AWS para horários incomuns ou locais de acesso não reconhecidos. Se houver um login seguido de tráfego para domínios suspeitos, investigue imediatamente.