Contas do Gmail Comprometidas à Medida que Hackers Russos Ignoram MFA

Em uma nova onda preocupante de ciberataques, um ator de ameaça cibernética patrocinado pelo estado russo foi pego se passando pelo Departamento de Estado dos EUA para obter acesso não autorizado a contas do Gmail, especificamente aquelas pertencentes a acadêmicos proeminentes e críticos da Rússia.

De acordo com pesquisadores de segurança do Grupo de Inteligência de Ameaças do Google (GTIG), os ataques começaram em pelo menos abril e continuaram até o início de junho de 2025. Os hackers, rastreados sob o nome UNC6293 e suspeitos de estarem ligados ao conhecido grupo APT29/ICECAP, confiaram em táticas de engenharia social cuidadosamente elaboradas para extrair credenciais de login de suas vítimas.

Hackers Usaram Engano, Não Malware

Em vez de usar malware típico ou links de phishing evidentes, os atacantes optaram por uma abordagem mais sutil. Em vez disso, eles construíram confiança com seus alvos ao longo do tempo, enviando e-mails personalizados e convites para reuniões falsas. Para aumentar sua credibilidade, os atacantes falsificaram endereços de e-mail que pareciam oficiais do Departamento de Estado dos EUA, incluindo-os na linha CC de suas mensagens.

Um exemplo, compartilhado por Keir Giles, um proeminente pesquisador britânico sobre a Rússia, mostra uma mensagem encaminhada (veja abaixo) com um endereço aparentemente credível do Departamento de Estado incluído entre os destinatários — uma tática chave usada para ganhar confiança.

Uma vez que o alvo respondeu, os atacantes enviaram um arquivo PDF que parecia inofensivo — personalizado para cada destinatário e temático para se assemelhar à comunicação oficial do Departamento de Estado — com instruções falsas alegando ajudar a acessar um sistema seguro do governo dos EUA.

Na realidade, o documento orientava a vítima a criar o que é conhecido como uma Senha Específica de Aplicativo (ASP) — um código único de 16 caracteres usado para permitir que aplicativos acessem contas do Gmail, ignorando a verificação em duas etapas.

Crucialmente, a vítima foi instruída a enviar esse código de volta ao atacante. Armados com a ASP, os hackers podiam fazer login no e-mail do usuário sem serem detectados, obtendo acesso a longo prazo sem precisar de senhas regulares ou acionar alertas de MFA (autenticação multifatorial).

“Os atacantes então configuraram um cliente de e-mail para usar a ASP, provavelmente com o objetivo final de acessar e ler a correspondência de e-mail da vítima. Esse método também permite que os atacantes tenham acesso persistente às contas”, escreveu o GTIG em um post no blog na quinta-feira.

Duas Campanhas, Uma Estratégia

** O GTIG identificou duas campanhas separadas, mas relacionadas:

Campanha 1 usou um tema do Departamento de Estado dos EUA, sugerindo o nome da ASP “ms.state.gov.”

Campanha 2 apresentou uma mistura de marcas ucranianas e da Microsoft.

Ambas as campanhas usaram os mesmos proxies residenciais (91.190.191.117) e servidores privados virtuais (VPS) na infraestrutura, facilitando para os investigadores vinculá-las.

Medidas Tomadas

O Google afirma que já resegurou as contas do Gmail comprometidas por essas campanhas e está trabalhando ativamente para prevenir futuros ataques desse tipo. A empresa lembra aos usuários que ASPs podem ser criadas e revogadas a qualquer momento. Quando uma ASP é criada, o Google envia automaticamente uma notificação para a conta do Gmail correspondente do usuário, endereço de e-mail de recuperação e quaisquer dispositivos conectados com essa conta do Google para confirmar que a ação foi intencional.

Para usuários de alto risco, como jornalistas, ativistas e analistas políticos, o Google fornece recursos de segurança aprimorados, como o Programa de Proteção Avançada (APP), que oferece segurança mais forte e desabilita a capacidade de criar ASPs completamente.

“Esperamos que uma melhor compreensão das táticas e técnicas melhore as capacidades de caça a ameaças e leve a proteções mais fortes para os usuários em toda a indústria”, concluiu o post do blog.