Relatório da ANY.RUN, divulgado nesta quarta-feira, aponta que campanhas de phishing explorando plataformas de nuvem legítimas atingiram 36.845 empresas nos últimos seis meses, totalizando 648.291 emails maliciosos. Os ataques utilizam infraestruturas como Azure Blob Storage, Google Firebase e serviços da Cloudflare para hospedar kits de phishing, dificultando a detecção por soluções de segurança tradicionais.
A estratégia aproveita a confiança existente nessas plataformas gigantes, o que reduz a probabilidade de bloqueio por controles baseados em domínios, certificados TLS ou endereços IP. Em 2024, 77% dos sites de phishing identificados utilizavam infraestrutura de nuvem, segundo a pesquisa citada no relatório.
Entre as táticas mais ativas, destacam-se kits AiTM (Adversary-in-the-Middle), como Tycoon2FA, Sneaky2FA e EvilProxy, que interceptam credenciais em tempo real ao fingir portais corporativos. O kit RaccoonO365, em especial, já roubou mais de 5.000 credenciais do Microsoft 365 em 94 países desde julho de 2024.
As campanhas não dependem apenas do volume de mensagens, mas também da filtragem inteligente de alvos. Atacantes segmentam emails para funcionários com acesso a ferramentas usadas diariamente, aumentando a taxa de cliques. As páginas falsas passam a coletar não apenas usuário e senha, mas também tokens de sessão e cookies, para manter o acesso mesmo após mudanças de credenciais.
A mudança no panorama de ameaças leva a uma reavaliação de defesas: indicadores tradicionais, como domínios suspeitos ou TLS inválidos, perdem eficácia quando a origem é azure.net, firebase.app ou cloudflare.com. Muitos gateways de email podem permitir mensagens que apontam para buckets do Azure Storage, sob a aparência de tráfego legítimo, abrindo brechas de detecção.
Para enfrentar esse cenário, especialistas defendem uma defesa em camadas: monitoramento comportamental contínuo, sandboxes interativos e inteligência de ameaças em tempo real, aliados a uma postura de segurança adaptativa que considere a confiança em plataformas de nuvem como um novo vetor de riscos.
