Uma campanha de phishing sofisticada e residente na memória, denominada BlobPhish, tem sido ativa desde outubro de 2024, explorando as APIs de URL Blob dos navegadores para roubar silenciosamente credenciais de usuários do Microsoft 365, grandes bancos dos EUA e plataformas financeiras, permanecendo quase completamente invisível às ferramentas de segurança tradicionais.
Contexto da campanha e evolução
O BlobPhish é uma operação sustentada de phishing de credenciais que muda fundamentalmente a forma como as páginas de phishing são entregues às vítimas. Em vez de hospedar páginas de login falsas em servidores controlados pelos atacantes e servi-las via HTTP padrão, o BlobPhish gera páginas de phishing inteiramente dentro do navegador da vítima usando objetos JavaScript Blob. O resultado é um payload de phishing que existe apenas na memória, sem deixar arquivo em disco, artefato de cache ou solicitação HTTP suspeita nos logs de proxy para que as ferramentas de segurança sinalizem.
Primeiramente observado em outubro de 2024, a campanha tem corrido ininterruptamente por mais de 18 meses e registrou um aumento significativo na atividade em fevereiro de 2026, confirmando-a como uma operação de ameaça madura e bem mantida, e não um ataque oportunista de curto prazo.
Cadeia de morte do ataque
A cadeia de morte do BlobPhish é elegantemente projetada para derrotar tanto as defesas baseadas em rede quanto as baseadas em arquivos:
- Acesso Inicial: A vítima recebe um e-mail de phishing — muitas vezes imitando um alerta financeiro, fatura ou compartilhamento de documento — contendo um link para um serviço que parece confiável, como DocSend ou um encurtador de URL via t.co. Anexos PDF com códigos QR que levam a páginas JavaScript maliciosas também foram observados, particularmente em campanhas do setor de energia.
- Execução do Carregador: Clicar no link redireciona a vítima para uma página HTML controlada pelo atacante hospedando um carregador JavaScript. Usando jQuery, o carregador cria invisivelmente um elemento âncora oculto, decodifica em Base64 um payload de phishing agrupado usando
atob(), constrói um objetoBlobdo tipotext/html, gera uma URLblob:https://viawindow.URL.createObjectURL()e força o navegador a navegar até ela — tudo sem interação visível do usuário. - Destruição de Evidências: Imediatamente após a navegação, o carregador chama
window.URL.revokeObjectURL()e remove o elemento âncora do DOM, destruindo qualquer rastro restante na memória da operação do carregador. - Colheita de Credenciais: A vítima é apresentada a uma réplica convincente de uma página de login do Microsoft 365, Chase, Capital One ou outro serviço financeiro. A barra de endereço do navegador mostra uma URL
blob:https://, que pode parecer legítima para um olho não treinado. Um contador de falha de login força as vítimas a reentrarem as credenciais várias vezes, maximizando a precisão da colheita. Os dados capturados são exfiltrados via HTTP POST para pontos finais controlados pelos atacantes correspondendo ao padrão*/res.php,*/tele.phpou*/panel.php— hospedados predominantemente em sites WordPress legítimos comprometidos.
Evasão de defesas convencionais
O esquema blob:https:// é a inovação central de evasão da campanha. Como a página de phishing nunca é transmitida pela rede como uma resposta HTTP independente:
- Motores de reputação de URL não podem bloqueá-la — não há URL externa para escanear.
- Logs de proxy não mostram solicitações suspeitas para a própria página de phishing.
- Gateways de e-mail seguros (SEG) perdem o payload, que só se materializa após a entrega.
- Soluções de endpoint baseadas em arquivos não encontram nada — nenhum arquivo é escrito em disco.
- Forense de cache retorna vazio — a URL Blob é revogada antes que os investigadores possam inspecioná-la.
Um único comprometimento bem-sucedido do BlobPhish pode se transformar em fraude de comprometimento de e-mail corporativo (BEC), tomada de locatário completa do Microsoft 365, transferências bancárias não autorizadas, manipulação de contas de investimento e implantação de ransomware após movimento lateral.
Indicadores de comprometimento (IOCs)
Os atacantes utilizam uma infraestrutura diversificada para hospedar os pontos finais de exfiltração. Alguns exemplos observados incluem:
- URL do carregador:
hxxps[://]mtl-logistics[.]com/blb/blob[.]html - Ponto final de exfiltração:
hxxps[://]mtl-logistics[.]com/css/sharethepoint/point/res[.]php - Exfiltração Capital One:
hxxps[://]wajah4dslot[.]com/wp-includes/certificates/tmp//res[.]php - Exfiltração Chase Banking:
hxxps[://]hnint[.]net/cgi-bin/peacemind//res[.]php
Domínios comprometidos adicionais incluem larva888[.]com, riobeautybrazil[.]com, i-seotools[.]com e mts-egy[.]net.
Recomendações defensivas
As equipes de segurança devem tomar as seguintes ações prioritárias:
- Implantar análise de sandbox: Capaz de executar JavaScript em navegadores reais para detonar payloads baseados em blob com segurança antes que alcancem os usuários finais.
- Caça proativa: Usando a regra YARA
BlobPhishLoaderHTMLe consultas de pivô de URL (url:"/res.php$",url:"*/blob.html$") em plataformas de inteligência de ameaças. - Forçar MFA resistente a phishing: (FIDO2/chaves de hardware) em todos os portais Microsoft 365 e bancários para limitar o raio de explosão pós-comprometimento.
- Integrar feeds de TI em tempo real: Que empurrem IOCs do BlobPhish para firewalls, proxies e regras de SIEM automaticamente conforme a infraestrutura do atacante gira.
- Treinar funcionários: Para reconhecer URLs inesperadas
blob:https://nas barras de endereço do navegador como um sinal de alerta vermelho.
O que os CISOs devem fazer agora
O BlobPhish demonstra que a ameaça de phishing superou as defesas de perímetro e baseadas em assinatura estática. A proteção eficaz agora exige análise comportamental dinâmica, caça contínua a ameaças e propagação automatizada de inteligência operando na velocidade da rotação da infraestrutura do atacante. A implementação de chaves de hardware para MFA é crítica, pois o phishing de credenciais tradicional não pode capturar tokens físicos.