Uma campanha de phishing sofisticada está utilizando uma página falsa de segurança do Google Account para distribuir um aplicativo baseado na web (PWA) malicioso. A ameaça, documentada por pesquisadores, tem como alvo credenciais de login, códigos de autenticação de dois fatores (MFA) e até endereços de carteiras de criptomoedas.
Mecanismo de ataque e funcionalidades
A campanha começa com um e-mail de phishing que direciona a vítima para um domínio que se passa por uma página legítima de verificação de segurança da conta Google. Ao acessar o site, os usuários são induzidos a instalar um "aplicativo de segurança" que, na verdade, é um Progressive Web App (PWA) malicioso. Uma vez instalado no navegador da vítima, este PWA atua como um agente persistente de coleta de dados.
O aplicativo malicioso é capaz de interceptar credenciais inseridas em formulários de login falsos. Mais criticamente, ele pode roubar códigos de autenticação de dois fatores (OTP - One-Time Passcodes) gerados por aplicativos autenticadores, contornando uma camada fundamental de segurança. Adicionalmente, a ameaça vasculha o navegador da vítima em busca de endereços de carteiras de criptomoedas e atua como um proxy, permitindo que os atacantes redirecionem seu tráfego malicioso através do navegador comprometido, potencialmente mascarando a origem dos ataques.
Implicações para a segurança corporativa e individual
O uso de PWAs maliciosas representa uma evolução nas táticas de phishing. Diferente de extensões de navegador maliciosas, que exigem instalação através de lojas oficiais, um PWA pode ser "instalado" diretamente de qualquer site, tornando sua distribuição mais simples e menos suscetível a detecção por mecanismos de reputação de lojas de aplicativos. A persistência concedida pela instalação como PWA permite que o ataque continue ativo mesmo após o fechamento da aba do navegador onde ocorreu o phishing inicial.
Para organizações, isso amplia a superfície de ataque, especialmente para funcionários que utilizam contas Google Workspace corporativas. O roubo de códigos MFA compromete seriamente os controles de acesso baseados em autenticação multifator. A funcionalidade de proxy também pode ser explorada para acessar recursos internos da rede corporativa, caso o navegador da vítima tenha acesso a eles.
Recomendações de mitigação
A principal defesa contra este vetor é a educação do usuário. É crucial alertar funcionários e usuários finais para:
- Desconfiar de solicitações para instalar "aplicativos de segurança" a partir de links em e-mails.
- Verificar sempre a URL do site antes de qualquer ação, especialmente páginas que solicitam credenciais ou instalação de software.
- Revisar periodicamente os aplicativos instalados no navegador (geralmente em Configurações > Aplicativos). Remova qualquer PWA desconhecida ou suspeita.
- Utilizar chaves de segurança físicas (FIDO2/WebAuthn) sempre que possível, pois este método é resistente a phishing e não pode ser interceptado por PWAs maliciosas que roubam OTPs.
Do ponto de vista técnico, políticas de segurança de endpoint e navegador que restrinjam a instalação de PWAs a partir de domínios não aprovados podem ser consideradas em ambientes corporativos de alto risco.