Campanha de phishing usa Vercel para distribuir acesso remoto | Cyber ataques

Campanha ativa entre novembro de 2025 e janeiro de 2026 abusou de páginas hospedadas na Vercel para entregar uma cópia assinada do GoTo Resolve como ferramenta de acesso remoto. A cadeia usa browser fingerprinting e filtragem via Telegram para selecionar vítimas e evitar pesquisadores.

Introdução: Uma campanha de phishing sofisticada, ativa entre novembro de 2025 e janeiro de 2026, tem explorado a plataforma legítima de hosting Vercel para hospedar páginas de engenharia social que entregam uma ferramenta de acesso remoto.

Como a campanha opera

Pesquisadores da Cloudflare identificaram uma cadeia de ataque que combina iscas financeiras — faturas vencidas, avisos de suspensão de serviços e documentos de pagamento — com links hospedados em domínios Vercel legítimos. O uso da infraestrutura confiável do provedor facilita a passagem por filtros de e‑mail e cria aparente legitimidade para as vítimas.

Vetor técnico e evasão

O fluxo técnico detectado inclui:

browser fingerprinting no ponto de clique, coletando IP, tipo de dispositivo, user‑agent e localização geográfica;
exfiltração desses dados para um canal controlado por atacantes no Telegram, onde sistemas automatizados filtram pesquisas de segurança e conexões suspeitas;
entrega condicional do payload apenas a alvos aprovados, enquanto bloqueiam pesquisadores e sandboxes.

Payload e técnica "living off the land"

Em vez de um binário personalizado, variantes observadas conduzem a vítima a baixar uma cópia assinada do software de acesso remoto GoTo Resolve (antigo LogMeIn). Ao empregar um software legítimo e assinado, os atacantes exploram a técnica "living off the land" para contornar detecções baseadas em assinatura. Após execução, o software estabelece conexões a servidores de comando e controle, concedendo controle remoto ao invasor.

Evidências e escopo regional

Cloudflare relata variações regionais nas iscas — por exemplo, e‑mails em espanhol se passando por notificações de atualização de segurança — e lures especificamente direcionadas a proprietários de contas empresariais. Não há, nas fontes citadas, um número consolidado de vítimas identificadas publicamente; os analistas descrevem o actor como tendo evoluído desde relatórios iniciais documentados em junho de 2025.

Limites das informações disponíveis

Os relatórios públicos não detalham listas de domínios Vercel específicos usados nem identificam uma cadeia proprietária completa dos servidores de C2. Também falta uma contagem verificada de sistemas comprometidos ou setores predominantemente afetados. As evidências técnicas compartilhas apontam para um uso sistêmico de filtragem via Telegram, mas não há informação pública sobre atores atribuíveis ou motivos alheios à proficiência operacional.

Recomendações práticas

Bloquear e investigar links Vercel desconhecidos em ambientes de e‑mail corporativo e revisar políticas de allowlist que considerem reputação contextual, não apenas o domínio de hospedagem.
Implementar proteção contra execução de binários não administrados e reforçar controles de aplicação (application allowlisting) para evitar execução de instaladores de terceiros por usuários.
Fortalecer triagem de e‑mail com análise de comportamento de clique e verificações de contexto (ex.: discrepâncias entre remetente, conteúdo e destino do link).
Treinamento focalizado em iscas financeiras e procedimentos para confirmação fora do canal (telefone/portal interno) quando houver solicitações de pagamento ou documentos sensíveis.

Observação

As informações disponíveis vêm da investigação de analistas da Cloudflare e de material de acompanhamento documentado por publicações de segurança. Não há, até o momento das fontes citadas, um comunicado público da Vercel detalhando a mitigação ou listas de domínios usados, nem declaração formal do fabricante do GoTo Resolve sobre abuso de suas assinaturas.

Fontes

Relatório de analistas da Cloudflare e investigação publicada no Cyber Security News (autor: Tushar Subhra Dutta).