Pesquisadores da Check Point Software identificaram uma campanha de phishing que explora serviços de compartilhamento de arquivos e plataformas de assinatura eletrônica para disseminar e-mails falsos com tema financeiro. A operação atingiu cerca de 6.100 empresas em diferentes países e enviou mais de 40 mil mensagens fraudulentas nas últimas duas semanas.
O ataque imita notificações legítimas e replica processos comuns no uso de ferramentas amplamente adotadas em bancos, imobiliárias, empresas de seguros e operações corporativas. O cenário aponta como a digitalização acelerada pode ser usada por grupos criminosos.
Como os golpistas aumentam a credibilidade dos ataques
A campanha utilizou links maliciosos redirecionados pelo domínio do serviço Mimecast Protect, induzindo confiança nas vítimas por simular fluxos corporativos conhecidos. Todos os e-mails incluíam URLs disfarçadas pelo endereço [https[:]//url[.]za[.]m[.]mimecastprotect[.]com], o que permitiu que os golpistas evitassem filtros de segurança e reduzissem suspeitas.
Os criminosos reproduziram elementos visuais de serviços legítimos, incluindo logos da Microsoft e do Office, além de cabeçalhos, rodapés e botões que simulam funções como “revisar Documento”. Também falsificaram nomes de exibição semelhantes aos usados em notificações reais, como “X via SharePoint (Online)” e “eSignDoc via Y”.
Phishing aproveita reescrita de links seguros
Os atacantes exploraram o recurso de reescrita de links seguros da Mimecast como uma cortina de fumaça para fazer seus links parecerem autênticos. Como o domínio é considerado confiável, a técnica ajudou a evitar bloqueios automatizados e aumentou a taxa de cliques.
A estratégia mostra como funcionalidades projetadas para proteger usuários podem ser usadas de forma maliciosa, especialmente em ambientes corporativos que dependem de plataformas SaaS consolidadas.
Variante imita DocuSign com técnica mais camuflada
Os pesquisadores também identificaram uma operação paralela que imita notificações do DocuSign. Apesar de semelhante em objetivo, o método de mascaramento é ainda mais sofisticado.
Na campanha principal, a URL final de phishing pode aparecer visível na sequência de consulta. Na variante baseada no DocuSign, o link passa por uma URL do Bitdefender GravityZone e depois pelo rastreador da Intercom, deixando o destino real completamente oculto por um redirecionamento exclusivo. Isso torna a detecção da fraude significativamente mais difícil.
