Pesquisadores identificaram um crescimento de campanhas de phishing direcionadas a usuários corporativos que hospedam páginas maliciosas em serviços legítimos como Microsoft Azure Blob Storage, Google Firebase e AWS CloudFront, dificultando a detecção por ferramentas tradicionais.
O que mudou agora
Em vez de usar domínios recém‑registrados ou infraestrutura claramente maliciosa, atacantes estão alavancando a reputação de provedores de nuvem para hospedar páginas de phishing. Isso reduz sinais clássicos de risco (domínio novo, certificados suspeitos, IPs conhecidos) e aumenta a capacidade de contornar filtros e bloqueios automáticos.
Mecanismo das campanhas
- Vetores de entrega: e‑mails de spear‑phishing com links ou QR codes que conduzem a fluxos de evasão com múltiplos redirecionamentos e desafios CAPTCHA.
- Kits dominantes: pesquisadores apontam Tycoon2FA, Sneaky2FA e EvilProxy como principais soluções de AiTM (Adversary‑in‑the‑Middle) usadas para capturar credenciais e tokens em tempo real.
- Evasão: uso de serviços legítimos faz com que IPs, TLS e certificados pertençam a provedores confiáveis, minimizando detecções baseadas em reputação.
Evidências e métricas
Relatos de monitoramento de infraestrutura por Any.Run indicam que campanhas com Tycoon2FA geraram mais de 64.000 incidentes reportados. Amostras foram encontradas em domínios de Blob Storage da Microsoft e outros serviços mainstream, confirmando a tática.
Impacto para times de segurança
Defensores enfrentam desafios técnicos e operacionais: bloqueios por IP ou domínio perdem eficácia; CDNs como Cloudflare obscurecem a origem; e a mobilidade dos atacantes permite rápida substituição de recursos. Além disso, kits AiTM podem capturar autenticações protegidas por MFA ao atuar como proxy entre o usuário e o serviço legítimo.
Mitigações práticas
- Adotar detecções baseadas em comportamento (análise de fluxo, sandboxing interativo) em vez de depender exclusivamente em indicadores reputacionais.
- Implementar proteção contra AiTM: políticas de autenticação adaptativa, monitoramento de sessões, detecção de anomalias nos headers e na sequência de autenticação.
- Usar soluções que inspecionem o fluxo completo de login em ambientes controlados (interactive sandboxing) para reproduzir cadeias de evasão e revelar a página final de roubo de credenciais.
- Treinamento específico para equipes de SOC/IR sobre técnicas de redirecionamento e uso de serviços legítimos por atacantes.
O que não está claro
Os relatórios não quantificam a taxa de sucesso (click‑to‑compromise) por região nem detalham a extensão de compromissos em organizações brasileiras. Falta também um catálogo público abrangente de domínios e amostras ligados às campanhas recentes que permita bloqueio proativo por fornecedores e equipes internas.
Recomendações executivas
Para CISOs: priorizar detecção comportamental e integração de threat intelligence contínua; revisar políticas de MFA (evitar métodos suscetíveis a AiTM quando possível) e preparar playbooks de resposta que considerem invasões via provedores de nuvem legítimos.