### Abuso do AppSheet para Distribuição de Phishing Pesquisadores da **Guardio** identificaram um novo esquema onde atacantes estão utilizando a plataforma **Google AppSheet** para distribuir e-mails de phishing, contornando efetivamente filtros de spam tradicionais. Os e-mails se passam por suporte da **Meta**, instando proprietários de contas empresariais do **Facebook** a submeterem um recurso sob a ameaça de exclusão permanente da conta. Shaked Chen, pesquisador de segurança da **Guardio**, declarou: "O que encontramos não foi um único kit de phishing... Foi uma operação ativa com painéis de controle em tempo real, evasão avançada, evolução contínua e um ciclo criminoso-comercial que se alimenta silenciosamente das mesmas contas que ajuda a roubar de volta." ### Táticas e Técnicas Os e-mails de phishing originam-se de um endereço legítimo do **Google AppSheet** (`[email protected]`), conferindo-lhes um ar de autenticidade. As vítimas são direcionadas para páginas web falsas projetadas para capturar suas credenciais. Esta campanha compartilha semelhanças com um ataque anterior relatado pela **KnowBe4** em maio de 2025.  Nas últimas semanas, os atacantes diversificaram seus iscas para induzir um "pânico relacionado à Meta", incluindo: * Ameaças de desativação de conta * Reclamações de direitos autorais * Solicitações de revisão de verificação * Golpes de recrutamento executivo * Alertas de login do **Facebook** A **Guardio** identificou quatro clusters principais de vetores de ataque: * Páginas do centro de ajuda do **Facebook** hospedadas em **Netlify** usadas para tomada de controle de conta, coletando dados pessoais (data de nascimento, números de telefone, IDs governamentais) e encaminhando-os para um canal do **Telegram** controlado pelos atacantes. * Iscas de avaliação de selo azul redirecionando vítimas para páginas de "Verificação de Segurança" ou "Meta | Central de Privacidade" hospedadas em **Vercel**, protegidas por CAPTCHAs, que eventualmente levam a páginas de phishing que roubam detalhes de contato, informações de negócios, credenciais e códigos de 2FA, exfiltrando-os para um canal do **Telegram**. * PDFs hospedados no **Google Drive**, disfarçados de instruções de verificação de conta, projetados para coletar senhas, códigos de 2FA, fotos de identidade governamental e capturas de tela do navegador usando html2canvas. Esses PDFs são gerados usando contas gratuitas do **Canva**. * Falsas ofertas de emprego se passando por empresas legítimas como **WhatsApp**, **Meta**, **Adobe**, **Pinterest**, **Apple** e **Coca-Cola** para estabelecer confiança e solicitar comunicação adicional em plataformas controladas pelos atacantes. ### Escala e Impacto Os canais do **Telegram** associados a esses ataques contêm aproximadamente 30.000 registros de vítimas, principalmente dos EUA, Itália, Canadá, Filipinas, Índia, Espanha, Austrália, Reino Unido, Brasil e México. Muitas dessas vítimas foram bloqueadas de suas contas do **Facebook**. ### Atribuição Inteligência de código aberto (OSINT) aponta para um indivíduo vietnamita, "PHẠM TÀI TÂN", como o autor dos PDFs usados no terceiro cluster de ataques, utilizando uma conta gratuita do **Canva**. Investigação adicional revelou um site (`phamtaitan[.]vn`) oferecendo serviços de marketing digital.  ### Implicações "Juntas, elas formam um quadro consistente de uma mega operação em larga escala, baseada no Vietnã", concluiu Chen. "Esta campanha é maior do que um único abuso do **AppSheet**. É uma janela para o mercado negro em torno de ativos roubados do **Facebook**, onde acesso, identidade comercial, reputação de anúncios e até recuperação de conta se tornaram commodities negociáveis. Mais uma entrada no padrão que continuamos a desenterrar: plataformas confiáveis sendo reaproveitadas como camadas de entrega, hospedagem e monetização."