Fornecedor Europeu de Segurança Alvo de Hackers que se Passam por Domínio Cisco
Aprofundamento CEVIU
Aprofundamento
A campanha não é só mais um phishing genérico: ela explora uma cadeia de confiança quebrada em três níveis, e-mail autenticado (DKIM replay), infraestrutura legítima comprometida (Cisco Secure Email Gateway com CVE-2025-20393 ativamente explorada) e serviços de rastreamento e proxy usados contra si mesmos (Nylas + Cloudflare). O fato de os e-mails do JP Morgan terem assinaturas DKIM válidas não significa que vieram do banco, mas que foram capturados e reenviados, técnica já observada em ataques reais desde fevereiro de 2026. A Cisco corrigiu a falha crítica em janeiro, mas muitos ambientes ainda rodavam versões não atualizadas, deixando portas abertas para que links maliciosos fossem hospedados *dentro* do próprio gateway de e-mail seguro.
O uso do Kratos PhaaS mostra a profissionalização do crime: não há necessidade de habilidade técnica para montar o ataque. Basta acessar o painel, escolher a isca (JP Morgan), configurar o redirecionamento via Nylas e entregar a página falsa protegida por Cloudflare, que, embora ofereça detecção avançada de phishing, não bloqueia automaticamente domínios novos ou legítimos que passaram por onboarding limpo. Isso transforma provedores de segurança em facilitadores involuntários quando mal configurados ou explorados em cadeia.
Por que isso importa
Empresas que confiam cegamente em DKIM, DMARC ou em 'soluções de e-mail seguro' como barreira final estão expostas, esta campanha prova que autenticação não é garantia de origem, e que ferramentas legítimas viram armas quando integradas sem controle de fluxo. O custo médio de uma violação por phishing supera US$ 4,8 milhões, e 90% dos ataques de roubo de credenciais até o final de 2026 usarão kits PhaaS como o Kratos. Para equipes de segurança, o alerta é claro: monitorar logs de email gateway, auditar integrações de rastreamento (como Nylas), e exigir MFA *forçado* no Microsoft 365, não apenas habilitado, são medidas mínimas agora.
Perguntas frequentes
O que é 'DKIM replay' e por que ele burlou os filtros?
É quando criminosos interceptam um e-mail legítimo já assinado com DKIM e o reenviam sem alterar o corpo nem a assinatura. Como a validação DKIM depende apenas da integridade da mensagem, não do remetente real, o e-mail passa como autêntico. Filtros baseados só em DMARC falham se o domínio for autorizado para encaminhamento, o que acontece com frequência em serviços de rastreamento e gateways.
Por que o Cisco Secure Email Gateway foi usado como vetor, se é uma solução de segurança?
Uma vulnerabilidade crítica (CVE-2025-20393, CVSS 10.0) permitia execução remota de comandos em dispositivos com 'Spam Quarantine' exposto à internet. Atacantes exploraram isso para hospedar links maliciosos diretamente no gateway, fazendo com que os próprios servidores da empresa parecessem fontes confiáveis, contornando listas negras e análises de URL.
Como o Kratos PhaaS difere de kits antigos de phishing?
Kratos tem painel web completo, defesas anti-análise (como CAPTCHA dinâmico e filtragem por comportamento de navegador), exfiltração via Telegram e suporte a múltiplas iscas temáticas. Diferente de scripts manuais, ele permite atualizações em tempo real, rotação de domínios e integração com APIs de rastreamento, tornando campanhas mais escaláveis e difíceis de bloquear com regras estáticas.
Por que a Cloudflare aparece tanto em ataques de phishing?
Seu plano gratuito, proteção DDoS e proxy ocultam servidores de origem, dificultando takedowns. Mas também é usada porque muitos provedores de e-mail e plataformas de automação (como Nylas) rodam atrás dela, então atacantes aproveitam a confiança implícita no tráfego que passa por esse layer, sem levantar suspeitas em firewalls ou proxies corporativos.
Fontes
- specopssoft.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 17 de março de 2026
- Editoria
- CEVIU Segurança da Informação
