Credenciais

Um novo ataque de phishing está direcionando usuários do Gmail, onde cibercriminosos se fazem passar por recrutadores do Google Careers. Desde setembro de 2025, essa campanha utiliza e-mails enganosos com cabeçalhos que parecem legítimos, vinculados a serviços como Salesforce e Cloudflare, para aumentar a confiança das vítimas. Os e-mails contêm um botão que redireciona para um portal falso do Google Careers, hospedado em um domínio que imita a página oficial, solicitando informações pessoais e credenciais do Gmail. O código JavaScript da página captura os dados e os envia para um servidor de comando e controle. Pesquisadores identificaram uma infraestrutura maior, com múltiplos domínios relacionados, sugerindo uma operação coordenada de phishing como serviço. Especialistas recomendam que os usuários estejam atentos a e-mails de recrutamento não solicitados e verifiquem sempre as comunicações através de portais oficiais. Essa onda de phishing demonstra a crescente sofisticação dos atacantes em combinar infraestrutura confiável e imitação de marcas para comprometer contas em larga escala.

Pesquisadores de segurança da MailMarshal SpiderLabs descobriram uma sofisticada campanha de phishing que explora o sistema de aviso de URL externo do Facebook para coletar credenciais de login dos usuários. Os atacantes abusam do mecanismo de redirecionamento da plataforma, criando links aparentemente legítimos que levam a portais de login fraudulentos. Ao clicar em um link de uma postagem ou mensagem do Facebook, o usuário vê um aviso que ainda exibe o domínio registrado, criando uma falsa sensação de segurança. Após inserir suas credenciais em uma página de login que imita o Facebook, os dados são enviados em tempo real para os servidores dos atacantes.

A Microsoft, por meio de sua Unidade de Crimes Digitais (DCU), desmantelou uma operação de cibercrime chamada RaccoonO365, que se destacou como uma das ferramentas mais rápidas para roubo de credenciais do Microsoft 365. Com uma ordem judicial do Distrito Sul de Nova York, a empresa conseguiu desativar 338 sites associados a essa plataforma de phishing como serviço, interrompendo a infraestrutura técnica utilizada pelos criminosos. Desde julho de 2024, a RaccoonO365 comprometeu pelo menos 5.000 credenciais em 94 países, com um foco alarmante em organizações de saúde nos EUA, onde 20 delas foram atacadas. O serviço, que permite que indivíduos com pouca experiência técnica realizem campanhas de roubo de credenciais, utiliza branding autêntico da Microsoft para enganar os usuários. A operação foi liderada por Joshua Ogundipe, um programador da Nigéria, que comercializava seus serviços via Telegram e recebeu cerca de $100.000 em pagamentos em criptomoeda. A evolução da RaccoonO365 inclui o uso de inteligência artificial para aumentar a eficácia dos ataques, destacando a crescente preocupação com ferramentas de cibercrime aprimoradas por IA. A Microsoft colaborou com parceiros de segurança e utilizou ferramentas de análise de blockchain para rastrear transações de criptomoeda, enquanto encaminhou Ogundipe para as autoridades internacionais.

Um novo ataque cibernético, denominado GhostAction, comprometeu mais de 3.300 chaves de acesso e credenciais no GitHub, conforme revelado pela empresa de segurança GitGuardian. O ataque, que começou a ser detectado em 2 de setembro de 2025, utiliza uma técnica que insere arquivos maliciosos no fluxo de trabalho do GitHub Actions, permitindo que os hackers leiam e enviem chaves de programação armazenadas em ambientes de projetos para servidores externos. Até o momento, foram identificados 817 repositórios afetados, abrangendo pacotes npm e PyPl, e comprometendo credenciais de serviços como AWS e Cloudflare. A GitGuardian notificou o GitHub e outras plataformas sobre a situação, e recomenda que os usuários afetados revoguem suas credenciais imediatamente para evitar a publicação de versões maliciosas de seus softwares. O ataque é semelhante a um incidente anterior, mas não há evidências de conexão entre eles. A situação destaca a vulnerabilidade da cadeia de abastecimento de software e a necessidade de vigilância constante por parte dos desenvolvedores e empresas que utilizam o GitHub.

Um novo ataque de phishing tem utilizado a plataforma AppSheet do Google para roubar credenciais de usuários. Os hackers registram contas no AppSheet e enviam notificações automatizadas que imitam alertas legítimos de sistemas, utilizando e-mails que parecem autênticos e que passam por verificações de segurança como SPF, DKIM e DMARC. Os e-mails contêm links encurtados que redirecionam as vítimas para uma cópia falsa do portal de login do Google Workspace. Uma vez que as credenciais são inseridas, elas são imediatamente coletadas pelos atacantes. Em março de 2025, 10,88% dos e-mails de phishing globalmente utilizaram a infraestrutura do AppSheet. As defesas tradicionais falham em detectar esses ataques, pois confiam na reputação da infraestrutura do Google. Para mitigar esses riscos, é necessário implementar análises contextuais que possam identificar discrepâncias entre o remetente e o conteúdo da mensagem, além de políticas dinâmicas que monitorem interações típicas entre serviços e usuários.

Um ataque cibernético conhecido como GhostAction comprometeu 327 usuários do GitHub e 817 repositórios, destacando a sofisticação dos atacantes em manter a infraestrutura maliciosa apenas pelo tempo necessário para coletar credenciais. A análise da GitGuardian revelou que a infraestrutura foi desativada rapidamente após o início das divulgações, indicando um nível profissional de inteligência de ameaças. O ataque não apresentou sobreposição com a recente campanha S1ngularity, sugerindo que diferentes grupos de ameaças estão operando de forma independente. A resposta imediata de organizações e registros de pacotes, como o PyPI, que rapidamente colocou projetos comprometidos em modo somente leitura, ajudou a evitar uma contaminação generalizada da cadeia de suprimentos de software. O incidente ressalta a importância da gestão de segredos em ambientes de CI/CD e a necessidade de monitoramento de segurança aprimorado nos fluxos de trabalho do GitHub Actions. As organizações devem implementar varreduras de segurança abrangentes, rotacionar credenciais comprometidas imediatamente e monitorar modificações não autorizadas nos fluxos de trabalho para prevenir ataques semelhantes.

Em 26 de agosto de 2025, o popular ferramenta de construção Nx foi alvo de um ataque sofisticado de cadeia de suprimentos, resultando na exfiltração de milhares de credenciais de desenvolvedores. Pesquisadores de segurança da GitGuardian identificaram a campanha maliciosa, chamada ‘s1ngularity’, que infectou pacotes Nx no npm com malware projetado para roubar credenciais. Em poucos dias, os atacantes conseguiram coletar mais de 2.300 segredos, incluindo tokens do GitHub, chaves de autenticação do npm e credenciais da AWS.

A Microsoft lançou uma nova funcionalidade de segurança baseada em inteligência artificial no Defender for Identity, que visa mitigar uma vulnerabilidade crítica relacionada ao armazenamento de credenciais em texto simples no Active Directory. A pesquisa da empresa revelou que mais de 40.000 credenciais estavam expostas em 2.500 locatários, evidenciando a gravidade do problema. Essa vulnerabilidade surge do uso inadequado de campos de texto livre, onde administradores frequentemente armazenam senhas e tokens de autenticação para facilitar a resolução de problemas e a integração de sistemas. Isso cria alvos valiosos para cibercriminosos, especialmente em contas de identidade não humanas, que não podem utilizar métodos tradicionais de autenticação multifatorial. A nova arquitetura de detecção da Microsoft combina varredura abrangente do diretório com uma análise contextual, reduzindo falsos positivos e garantindo alertas acionáveis para as equipes de segurança. A funcionalidade já está disponível em versão pública para todos os clientes do Defender for Identity, permitindo que as organizações identifiquem e corrijam configurações inadequadas antes que possam ser exploradas.