CEVIU Logo
Voltar
⚠️CEVIU Segurança da Informação

Campanha de phishing em larga escala usa nome da Boots para roubar dados de 8,9 milhões

Aprofundamento CEVIU

Aprofundamento

A campanha da Boots não é um ataque isolado, é um exemplo clássico de 'phishing-as-infrastructure': os criminosos não usaram servidores próprios, mas invadiram um servidor RDWeb Access exposto de uma pequena empresa britânica e o transformaram em uma fábrica de e-mails maliciosos. Instalaram o Gammadyne Mailer (ferramenta legítima de e-mail em massa) e dispararam 8,9 milhões de mensagens diretamente pela conexão da vítima, mascarando totalmente sua origem. A página de checkout foi hospedada em um domínio governamental boliviano comprometido, tática que engana filtros de reputação e aumenta a taxa de conversão.

O kit usado ('dracii.mmp') já circula desde julho de 2025 e já foi adaptado para golpes HMRC e Solana. Isso mostra que os atacantes operam como um serviço: reutilizam infraestrutura, templates e fluxos de coleta em múltiplas campanhas, com foco em escalabilidade, não em sofisticação técnica. Não há IA gerando texto aqui, é phishing manual, porém industrializado, com logística refinada.

O que mudou

Em abril de 2026, a CEVIU já havia reportado o uso crescente de 'phishing com código de dispositivo' para bypass de MFA no Microsoft 365. Agora, em junho, vemos um salto tático: o mesmo grupo de ameaça romeno trocou o foco em contornar autenticação por token por um modelo mais simples, mas mais escala, roubo direto de credenciais via checkout falso. Enquanto as campanhas anteriores exigiam acesso a ambientes corporativos para extrair tokens, essa opera inteiramente do lado do usuário final, sem depender de exploração avançada. É menos técnico, mas muito mais barato e replicável.

Por que isso importa

Essa operação prova que a maior vulnerabilidade não está no e-mail corporativo, mas na exposição acidental de serviços internos, como RDWeb Access, que viram plataformas de ataque. Um único servidor mal configurado, sem autenticação forte nem restrição de rede, pode ser usado para atingir quase 9 milhões de pessoas. E isso acontece enquanto 82,6% dos e-mails de phishing hoje são gerados por IA, ou seja, ataques como esse, embora manuais, estão sendo eclipsados por uma onda ainda mais perigosa: a automação massiva de engenharia social com custo quase zero.

Linha do tempo

  1. Campanha de phishing com código de dispositivo atinge 340+ organizações no Microsoft 365, contornando MFA via abuso de token

  2. Pesquisadores do Microsoft Defender identificam campanha de phishing habilitada por IA usando EvilToken e Railway.com

  3. Violação no Adaptavist Group permite envio de e-mails falsos após comprometimento de credenciais

  4. Campanha 'AccountDumpling' usa Google AppSheet para enviar phishing autenticado e roubar 30 mil contas do Facebook

  5. Microsoft detalha campanha multifásica de phishing contra 35.000 usuários em 26 países com temática de 'código de conduta'

  6. Revelação da Operation HookedWing, campanha de phishing de quatro anos que atingiu mais de 500 organizações

  7. Campanha de phishing em larga escala usa nome da Boots para roubar dados de 8,9 milhões de usuários

Perguntas frequentes

Por que usar um site governamental boliviano para hospedar a página falsa?

Domínios governamentais têm alta reputação em listas de confiança de antispam e navegadores. Hospedar lá evita bloqueios automáticos e aumenta a credibilidade da página de checkout. Também dificulta a remoção rápida, pois exige coordenação internacional com autoridades locais.

O que torna o Gammadyne Mailer perigoso nesse contexto?

É uma ferramenta legítima de marketing por e-mail, amplamente usada por PMEs. Quando instalada em um servidor comprometido, permite envio direto pela conexão da vítima, sem passar por provedores de e-mail. Isso burla SPF, DKIM e DMARC, e evita detecção por sistemas baseados em reputação de IP.

Como essa campanha se compara à Operation HookedWing?

HookedWing durou quatro anos e mirava organizações estratégicas com ataques altamente personalizados. A campanha da Boots é curta, massiva e genérica, focada em volume, não em precisão. São dois extremos do mesmo espectro: persistência versus escala. Ambas funcionam porque exploram falhas humanas e de configuração, não vulnerabilidades zero-day.

Por que os atacantes não usaram IA para gerar os e-mails?

Não precisavam. O template da Boots já é altamente eficaz: promessa de amostras gratuitas + marca reconhecida + urgência implícita. Em vez de gastar tempo com geração de texto, eles investiram em logística, hospedagem em domínio confiável, infraestrutura de envio robusta e listas de e-mail bem segmentadas. Resultado: taxa de clique estimada entre 40% e 48%, acima da média de 54% de e-mails gerados por IA, mas com custo operacional muito menor.

Links relacionados

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
19 de junho de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Assinar newsletterVer mais de CEVIU Segurança da Informação
Conteúdo curado diariamenteDiversas categoriasCancele quando quiser