Uma nova campanha de phishing aproveitando serviços do Google afetou mais de 100 países

Anteriormente, destacamos que os ataques de phishing em 2025 aproveitaram cada vez mais serviços não convencionais do Google. Sua relevância em 2026 foi confirmada -> (https://www.group-ib.com/blog/gtfire-phishing-scheme/) pela Group‑IB através da campanha GTFire — os atacantes exploraram os seguintes serviços:

🔥 Firebase Hosting — uma plataforma de hospedagem web gratuita usada para implantar em massa páginas de phishing em subdomínios .web.app aleatórios. As páginas hospedadas carregam dinamicamente conteúdo específico para a organização alvo, permitindo que os atacantes usem o mesmo modelo para impersonar várias marcas, simplesmente alterando os caminhos URL para ativos visuais.

🌐 Google Translate — um serviço de tradução usado para ofuscar links de phishing. Os atores de ameaças abusam do recurso de tradução de páginas web, fazendo com que o URL de phishing apareça como .translate.goog. Quando clicado, a solicitação passa primeiro pela infraestrutura do Google atuando como um proxy, depois redireciona a vítima para uma página de phishing hospedada no Firebase.

Em ambos os casos, domínios legítimos associados aos serviços do Google são usados, reduzindo a probabilidade de que gateways de e-mail seguros ou sistemas de filtragem de URL bloqueiem mensagens contendo tais links. Mas os atacantes não pararam por aí — sua infraestrutura C2 depende de ferramentas publicamente disponíveis e software legítimo, reduzindo custos de desenvolvimento e complicando a atribuição para pesquisadores.

🚨 No geral, a campanha se espalhou para pelo menos 115 países e 1.142 organizações: o número real de vítimas pode diferir devido às características da infraestrutura C2 que dificultam a atribuição.

O uso de serviços e componentes legítimos por atores de ameaças não apenas reduz a probabilidade de detecção, mas também corta custos de desenvolvimento de infraestrutura, permitindo-lhes alocar mais recursos para escalar ataques. Isso destaca a necessidade de adaptar mecanismos de detecção a cenários de abuso envolvendo serviços legítimos e aumentar a conscientização dos funcionários: um domínio confiável nem sempre garante um recurso seguro.

#dbugs_analytics