Google Cloud

O Brasil se consolidou como um dos principais alvos globais de cibercrime, especialmente devido à sua relevância econômica e à rápida adoção de tecnologias financeiras, como fintechs e criptomoedas. Sandra Joyce, vice-presidente global de Inteligência de Ameaças do Google Cloud, destacou em entrevista que o país atrai a atenção de organizações criminosas, tornando-se um foco para ataques cibernéticos profissionais. A evolução das técnicas de ataque, impulsionada pela inteligência artificial, tem facilitado a criação de conteúdos falsos, como deepfakes e e-mails de phishing mais sofisticados. Além disso, a Coreia do Norte tem utilizado o cibercrime como uma forma de financiar seus programas de armas nucleares, infiltrando profissionais de TI em empresas ocidentais, incluindo no Brasil, através de identidades falsas. Para mitigar esses riscos, o Google implementou barreiras de segurança em seus sistemas e enfatiza a importância do pensamento crítico dos usuários. A situação exige uma atenção redobrada por parte das empresas e dos profissionais de segurança da informação no Brasil.

Pesquisadores de cibersegurança revelaram uma campanha de phishing que utiliza mensagens geradas pelo Google para enganar usuários. Os atacantes abusam do serviço de Integração de Aplicativos do Google Cloud para enviar e-mails de phishing a partir de um endereço legítimo, ’noreply-application-integration@google.com’, o que permite que as mensagens contornem filtros de segurança tradicionais. Os e-mails imitam notificações empresariais comuns, como alertas de correio de voz e solicitações de acesso a arquivos, tornando-se mais convincentes para os destinatários. Durante um período de 14 dias em dezembro de 2025, foram enviados 9.394 e-mails de phishing, atingindo cerca de 3.200 clientes em diversas regiões, incluindo EUA, Europa e América Latina. A campanha explora a funcionalidade de envio de e-mails do Google Cloud, permitindo que os atacantes configurem mensagens para qualquer endereço de e-mail, burlando verificações de DMARC e SPF. Após o clique em links contidos nos e-mails, os usuários são redirecionados para páginas falsas que visam roubar credenciais. O Google já tomou medidas para bloquear esses esforços de phishing, mas a campanha destaca como recursos legítimos de automação podem ser mal utilizados para disseminar ataques em larga escala.

Uma nova campanha de phishing tem utilizado o Google Cloud para roubar credenciais de login de empresas em todo o mundo, conforme identificado por pesquisadores da Check Point. O ataque já afetou mais de 3 mil organizações, com a maioria das vítimas localizadas nos Estados Unidos, Brasil e México. Os hackers exploram a ferramenta Google Cloud Application Integration para enviar e-mails maliciosos que parecem legítimos, utilizando domínios reais do Google. Isso permite que os filtros de segurança não sejam acionados, levando os funcionários a clicarem em links fraudulentos.

Pesquisadores demonstraram, durante os eventos Black Hat e DEF CON, como a técnica de domain fronting pode ser utilizada para ocultar tráfego malicioso por meio de plataformas populares como Google Meet, YouTube e servidores de atualização do Chrome. Essa técnica explora a discrepância entre os cabeçalhos Server Name Indication (SNI) e HTTP Host em requisições HTTPS, permitindo que atacantes disfarcem suas atividades como chamadas legítimas a domínios confiáveis. Em testes de prova de conceito, foi possível invocar funções maliciosas em infraestrutura controlada por atacantes dentro do Google Cloud Platform (GCP) ao manipular esses cabeçalhos. Essa abordagem representa uma nova forma de ataque, especialmente relevante para equipes de segurança, que agora precisam desenvolver capacidades de inspeção mais profundas para identificar padrões de roteamento incomuns, mesmo em tráfego que parece legítimo. A liberação de um redirecionador de código aberto para facilitar a adoção dessa técnica por equipes vermelhas destaca a necessidade urgente de vigilância e mitigação por parte das organizações, que devem equilibrar a utilização de serviços do Google com a detecção de anomalias para evitar que atacantes se escondam em tráfego aparentemente seguro.

No dia 3 de setembro de 2025, a Cloudflare anunciou que conseguiu mitigar um ataque DDoS volumétrico recorde, que atingiu picos de 11,5 terabits por segundo (Tbps). O ataque, que durou apenas 35 segundos, foi classificado como um ‘flood’ UDP e teve origem principalmente na Google Cloud. A empresa destacou que, nas semanas anteriores, bloqueou centenas de ataques DDoS de alta volumetria, com o maior deles alcançando 5,1 Bpps. Os ataques volumétricos têm como objetivo sobrecarregar um servidor com um grande volume de tráfego, resultando em lentidão ou falhas no serviço. Além disso, esses ataques podem servir como uma cortina de fumaça para ataques mais sofisticados, permitindo que os invasores explorem vulnerabilidades e acessem dados sensíveis. A Cloudflare já havia reportado um ataque DDoS de 7,3 Tbps em maio de 2025, e a quantidade de ataques DDoS hiper-volumétricos aumentou significativamente no segundo trimestre de 2025. O artigo também menciona a operação de desmantelamento de uma botnet chamada RapperBot, que visava dispositivos IoT, como gravadores de vídeo em rede (NVRs), para realizar ataques DDoS. Essa situação ressalta a necessidade de vigilância constante e atualização das defesas de segurança em um cenário de ameaças em evolução.

Um ataque DDoS volumétrico sem precedentes, atingindo 11,5 terabits por segundo (Tbps), foi detectado e neutralizado pela Cloudflare em 1º de setembro de 2025. O ataque, que durou apenas 35 segundos, originou-se principalmente de recursos comprometidos na Google Cloud Platform, utilizando o protocolo UDP para inundar servidores-alvo com pacotes, esgotando sua largura de banda e recursos. A Cloudflare conseguiu mitigar o ataque rapidamente por meio de seu sistema automatizado de defesa, que combina detecção de anomalias baseada em aprendizado de máquina com filtragem de pacotes. Este incidente destaca a crescente tendência de adversários que exploram recursos de nuvem pública para criar botnets capazes de gerar tráfego em larga escala. A empresa planeja publicar uma análise técnica detalhada para ajudar a comunidade de cibersegurança a desenvolver defesas mais robustas contra essas ameaças. À medida que as táticas de DDoS evoluem, ataques hipervolumétricos representam um risco significativo para serviços online e infraestrutura crítica.