Resumo do achado
Relatórios de pesquisa identificaram campanhas que usam infraestrutura legítima—Microsoft Azure Blob Storage, Firebase Cloud Storage, AWS CloudFront e Google Sites—para servir páginas de phishing que imitam serviços corporativos como Microsoft 365. As famílias Tycoon, Sneaky2FA e EvilProxy foram citadas como exemplos que se aproveitam dessa infraestrutura para colher credenciais de usuários empresariais.
Como os ataques operam
Ao contrário de campanhas tradicionais que dependem de domínios recém-registrados, os ataques descritos carregam conteúdo malicioso em domínios e endpoints pertencentes a provedores confiáveis. Isso reduz a eficácia de verificações de reputação baseadas em domínio porque o pedido HTTP se apresenta como originado de serviços legítimos.
- Tycoon: observado operando a partir de um Azure Blob (alencure[.]blob[.]core[.]windows[.]net), segundo a pesquisa citada.
- Sneaky2FA: encontrado em Firebase (firebasestorage[.]googleapis[.]com) e em endpoints de distribuição como AWS CloudFront (cloudfront[.]net), servindo páginas falsas de login do Microsoft 365.
- EvilProxy: utiliza Google Sites (sites[.]google[.]com) para hospedar páginas maliciosas.
Desafios de detecção
Ferramentas tradicionais que avaliam reputação de domínio e listas negras têm baixa eficácia nesses casos, porque o domínio host é legítimo e amplamente usado por tráfego benigno. Os pesquisadores destacam que o elemento malicioso está no conteúdo servido, não no nome do host, o que exige abordagens baseadas em comportamento e análise do conteúdo carregado pelas páginas.
Evidências e indicadores
A análise citou indicadores de compromisso (IOCs) associados às campanhas, incluindo domínios como mphdvh[.]icu, kamitore[.]com, aircosspascual[.]com e Lustefea[.]my[.]id. Para Tycoon foi reportado o uso do container Azure Blob mencionado acima.
Implicações práticas
Organizações que dependem apenas de reputação de host podem ser enganadas. A recomendação implícita pelos pesquisadores é complementar controles com detecção comportamental e mecanismos que inspecionem o conteúdo das páginas e os padrões de interação com formulários de autenticação, especialmente quando o alvo for contas corporativas (as campanhas filtram contas gratuitas para focar em usuários empresariais).
O que falta
O relatório descreve as técnicas e exemplos, mas não fornece métricas agregadas públicas sobre alcance total, número de vítimas ou setores mais atingidos. Também não há, no material consultado, dados sobre ações tomadas pelos provedores de cloud em resposta aos domínios específicos citados.
Recomendações rápidas
- Implementar análise comportamental de páginas e proteção contra credential harvesting.
- Integrar lookups de inteligência que busquem abuso em Azure Blob, Firebase Cloud Storage e Google Sites.
- Treinar usuários para atenção extra a formulários hospedados em domínios legítimos, e adotar MFA robusto que resista a proxies de sessão.
Fonte: Cyber Security News.