Cibercriminosos driblam autenticação em golpe avançado contra AWS Console
Uma nova campanha de phishing altamente sofisticada está mirando diretamente contas corporativas na AWS Console, com páginas falsas capazes de capturar não apenas logins e senhas, mas também códigos de autenticação em tempo real. O objetivo é claro: assumir sessões válidas de usuários e ganhar acesso completo à infraestrutura em nuvem das vítimas, mesmo quando a conta usa autenticação multifator (MFA).
Os ataques foram observados por pesquisadores entre 16 e 19 de junho de 2026, período em que ao menos três domínios foram registrados em curto intervalo de tempo para simular a página oficial de login da AWS. Esses domínios são cuidadosamente preparados para enganar funcionários de empresas que dependem da plataforma para operar seus serviços críticos.
Técnica “adversary-in-the-middle” no centro do golpe
O golpe se apoia na técnica conhecida como adversary-in-the-middle (AitM). Nessa abordagem, o site fraudulento age como um intermediário entre a vítima e o serviço legítimo da AWS. Em vez de apenas coletar credenciais estáticas, o portal falso repassa, em tempo real, tudo o que a vítima digita para os criminosos, enquanto uma tentativa de login real é conduzida em paralelo no ambiente da AWS.
Dessa forma, quando o usuário informa login, senha e o código de autenticação multifator, esses dados seguem imediatamente para os operadores do golpe, que os aplicam na sessão real. O resultado é que os invasores conseguem capturar uma sessão autenticada válida, muitas vezes sem disparar alertas adicionais para o usuário, que acredita ter feito apenas mais um acesso rotineiro.
Páginas falsas da AWS Console com alto grau de fidelidade
Os criminosos prepararam páginas de phishing extremamente parecidas com a interface verdadeira da AWS Console. O layout, cores, logomarca e até detalhes de usabilidade são replicados com precisão para reduzir ao máximo a desconfiança da vítima.
Ao clicar no link malicioso, o usuário é redirecionado para esse ambiente fraudulento, que apresenta o formulário de login da mesma forma que a página oficial. Em alguns casos, o kit de phishing também simula erros de autenticação ou recarregamentos da página para dar a impressão de instabilidades comuns em sistemas corporativos, enquanto em segundo plano a sessão já está sendo explorada pelos criminosos.
E-mails se passando pelo suporte da AWS
A porta de entrada da campanha é o e-mail. As mensagens são cuidadosamente construídas para parecerem notificações legítimas do suporte da AWS. Em um dos artefatos analisados, o texto alegava tratar-se de um chamado técnico sobre suposta limitação de banda na conta do cliente, alertando sobre possíveis impactos no desempenho de serviços em produção.
Para pressionar a vítima, o e-mail reforçava a urgência da situação e incluía um link para “regularizar” ou “verificar” a questão. Ao seguir o link, o usuário era conduzido diretamente à página falsa de login. Esse tipo de narrativa explora o medo de interrupção de serviços críticos, o que aumenta as chances de técnicos, desenvolvedores e administradores clicarem rapidamente sem a devida validação.
Bypass de MFA: o grande diferencial da campanha
Um dos aspectos mais preocupantes desse ataque é a capacidade de contornar formas tradicionais de autenticação multifator. O kit de phishing usado pelos criminosos foi desenvolvido para se adaptar ao tipo de MFA configurado na conta da vítima, incluindo:
– Códigos enviados por e-mail
– Tokens recebidos por SMS
– Códigos gerados por aplicativos autenticadores
Quando o usuário insere o código de segundo fator no site falso, ele é imediatamente repassado ao login real em andamento pelos cibercriminosos. Assim, mesmo que a empresa siga boas práticas de segurança e exija MFA, o ataque ainda consegue capturar a sessão já autenticada.
Isso mostra como ataques AitM mudam o cenário: não basta mais proteger apenas a senha. É necessário pensar em mecanismos que impeçam especificamente o sequestro de sessão, como autenticação baseada em chaves de hardware, uso intensivo de verificação de contexto (dispositivo, localização, IP) e monitoramento comportamental.
Uso de serviços legítimos para entregar os e-mails
Para aumentar a taxa de entrega e escapar de filtros antispam, os operadores se apoiaram em serviços legítimos de envio de e-mails, como SendGrid e Nimbu. Com isso, as mensagens de phishing passam por servidores confiáveis, elevando a reputação do remetente aos olhos de muitos sistemas de proteção automáticos.
Além disso, os domínios fraudulentos estavam protegidos por serviços de distribuição e proteção de tráfego, como a Cloudflare. Essa camada adicional dificulta a identificação da infraestrutura real usada para hospedar o phishing e complica o trabalho de bloqueio direto de IPs, além de dar à página maliciosa um ar mais profissional, típico de grandes aplicações.
Alvo: credenciais corporativas e ambientes em nuvem
Embora qualquer usuário da AWS possa ser alvo, o foco principal da campanha parece recair sobre corporações que utilizam intensamente a nuvem para aplicações críticas. O acesso à console administrativa permite, entre outras ações:
– Criar ou excluir instâncias de servidores
– Acessar e copiar grandes volumes de dados sensíveis
– Modificar permissões de usuários e papéis de IAM
– Implantar novos recursos maliciosos dentro da infraestrutura da vítima
Com esse nível de controle, os criminosos podem desde roubar informações estratégicas até instalar backdoors persistentes ou mesmo preparar futuras campanhas de extorsão, como sequestro de dados e paralisação de serviços.
Por que esses golpes estão ficando mais sofisticados
A evolução desse tipo de ataque acompanha a crescente valorização da infraestrutura em nuvem. À medida que empresas migram sistemas críticos para plataformas como a AWS, o ganho potencial de uma invasão bem-sucedida cresce na mesma proporção. Isso incentiva grupos criminosos a investir em kits de phishing mais complexos, capazes de lidar com MFA, replicar fluxos de login dinâmicos e contornar detecções automatizadas.
Paralelamente, recursos de automação, inteligência artificial e serviços legítimos na internet são reutilizados pelos atacantes para escalar campanhas rapidamente, testar diferentes iscas e segmentar perfis específicos de vítimas, como administradores de sistemas ou gestores de TI.
Como usuários e empresas podem se proteger
Diante desse cenário, a responsabilidade pela proteção se divide entre tecnologia, processos e comportamento humano. Algumas medidas que podem reduzir o risco incluem:
– Desconfiar de qualquer e-mail que pressione por ações urgentes relacionadas à conta AWS, especialmente quando envolver links de login.
– Em vez de clicar em URLs recebidas por mensagens, digitar manualmente o endereço da AWS Console no navegador ou usar favoritos previamente salvos.
– Verificar cuidadosamente o domínio na barra de endereço antes de inserir credenciais, observando detalhes sutis de escrita ou domínios adicionais estranhos.
– Adotar chaves de segurança físicas (como tokens compatíveis com padrões modernos de autenticação) sempre que possível, reduzindo o impacto de ataques AitM.
– Habilitar alertas e logs detalhados na conta AWS, incluindo notificações para logins de novos dispositivos, mudanças de permissões e atividades suspeitas.
Treinamento recorrente de conscientização em segurança também é fundamental, especialmente para equipes que lidam diretamente com infraestrutura em nuvem.
Boas práticas específicas para ambientes AWS
Além das medidas gerais, algumas ações focadas em gestão de contas AWS podem mitigar os danos caso um acesso não autorizado ocorra:
– Aplicar o princípio de menor privilégio em contas e papéis de IAM, limitando o que cada usuário pode fazer na console.
– Criar contas separadas para produção, desenvolvimento e testes, reduzindo o impacto de um comprometimento isolado.
– Utilizar contas de função em vez de credenciais fixas para automações e serviços, evitando o uso de usuários altamente privilegiados em tarefas rotineiras.
– Revisar periodicamente usuários inativos, chaves antigas e permissões amplas que não são mais necessárias.
Quanto menor o poder de uma conta individual, mais difícil será para o invasor causar danos amplos, mesmo que consiga sequestrar uma sessão.
O papel da autenticação avançada e do monitoramento
A campanha mostra que depender apenas de MFA tradicional não é mais suficiente para enfrentar ameaças modernas. Soluções que utilizam autenticação baseada em chaves, validação de dispositivo, geolocalização e análises de comportamento de login tendem a oferecer maior resiliência contra ataques AitM.
Ao mesmo tempo, monitorar continuamente o uso da console, padrões de acesso e tentativas de login anômalas pode permitir a detecção precoce de sessões maliciosas em andamento. Integrações com ferramentas de segurança, como sistemas de gerenciamento de eventos e informações de segurança, ajudam a reagir rapidamente com bloqueios, revogação de sessões e redefinição de credenciais.
Um alerta para todo o ecossistema de nuvem
Esse tipo de golpe direcionado à AWS Console é um alerta para qualquer organização que dependa de serviços em nuvem para operar. À medida que a superfície de ataque cresce, campanhas de phishing deixam de ser apenas tentativas genéricas de roubar senhas e passam a mirar diretamente consoles administrativas, painéis de gestão e ambientes de alta criticidade.
A combinação de sites falsos em modo adversary-in-the-middle, uso de serviços legítimos de e-mail e hospedagem, além da capacidade de contornar MFA, inaugura um novo patamar de risco para operações em nuvem. Empresas que tratam a nuvem como pilar estratégico precisam reforçar não apenas a tecnologia, mas todo o processo de proteção e resposta a incidentes, do usuário final ao time de segurança.