6 min de leitura Por Excello Mail Team

A Campanha de Gmail da Ghostwriter Rouba Senhas e Códigos 2FA em Tempo Real. O DMARC Nunca Esteve no Caminho.

O CERT Polska está monitorando uma campanha intensificada da UNC1151 (Ghostwriter) que tem como alvo usuários do Gmail desde março de 2026, usando falsos alertas de segurança do Google, retransmissões por websocket em tempo real para capturar códigos 2FA, e novos domínios de phishing quase todos os dias. Veja como a campanha funciona e por que o DMARC nunca esteve em posição de detê-la.

O CERT Polska vem acompanhando há vários meses uma campanha de phishing intensificada da UNC1151, o grupo ligado à Bielorrússia também conhecido como Ghostwriter. Desde março de 2026, o grupo deslocou seu foco histórico em provedores de webmail poloneses como Onet, Wirtualna Polska e Interia para contas do Gmail, conduzindo a operação com alta intensidade nos dias úteis e registrando novos domínios de phishing quase todos os dias. A campanha rouba senhas e códigos de autenticação de dois fatores na mesma etapa, e faz isso sem nunca precisar falsificar um domínio que o DMARC pudesse detectar.

Como Funciona a Campanha

A isca é um falso aviso de administrador do Gmail, escrito em polonês fluente e sem erros, alertando o destinatário sobre atividade suspeita na conta ou uma violação dos termos de serviço. O CERT Polska descobriu que os atacantes enviam essas mensagens a partir de contas do Gmail recém-criadas com nomes projetados para parecer oficiais, como [email protected] ou [email protected], e a partir de contas legítimas comprometidas com o nome de exibição alterado para combinar. Em vez de endereçar as vítimas diretamente, muitas mensagens são enviadas por CCO, mantendo as listas de destinatários ocultas umas das outras e de uma inspeção casual. O link na mensagem leva a um domínio de phishing, frequentemente registrado sob .icu, .digital ou .top, ou hospedado como um subdomínio em uma plataforma gratuita como o Netlify, com nomes como mailverify.digital, verify-check.digital ou monitoring-google-konta.netlify.app. Como esses domínios são trocados diariamente, listas de bloqueio construídas com os indicadores de ontem já estão desatualizadas no momento em que são atualizadas.

Uma Retransmissão em Tempo Real Vence o Segundo Fator

O que diferencia essa onda de uma simples página de captura de credenciais é o que acontece depois que a vítima digita a senha. A página de phishing abre uma conexão websocket em segundo plano com a infraestrutura do atacante e transmite tudo o que é digitado na página no instante em que é digitado. Quando a conta do Google da vítima solicita um código de uso único ou uma confirmação de aplicativo autenticador, o backend do atacante retransmite essa solicitação para a página falsa em tempo real, a vítima insere o código acreditando estar completando um login rotineiro, e o código é encaminhado ao Google antes de expirar. É a mesma lógica de adversário no meio (adversary-in-the-middle) que vem impulsionando as campanhas de tomada de conta o ano todo, mas a Ghostwriter está executando isso diretamente contra o Gmail, em grande volume, com infraestrutura nova surgindo diariamente para se manter à frente dos esforços de derrubada. Uma vez dentro, a UNC1151 coleta sistematicamente listas de contatos para a próxima rodada de alvos, documentos sensíveis e acesso a quaisquer contas de redes sociais vinculadas, e então avança para as conexões profissionais, familiares e sociais da vítima.

Quem Está Sendo Alvo

Os dados de direcionamento do CERT Polska apontam claramente para pessoas cujas caixas de entrada têm valor político e estratégico: políticos, autoridades públicas, pesquisadores de segurança, jornalistas, pessoal da aplicação da lei e funcionários da administração pública, junto com seus familiares e contatos próximos. Reportagens independentes do The Record, da Recorded Future, documentaram o mesmo grupo visando as contas pessoais do Gmail de políticos bielorrussos pró-democracia e seus familiares, em linha com o histórico da Ghostwriter de operações alinhadas a interesses estatais na região.

Por Que o DMARC Nunca Esteve em Posição de Impedir Isso

Vale a pena ser preciso sobre o que o DMARC cobre e o que não cobre aqui, porque essa campanha fica quase inteiramente fora de seu escopo. O DMARC permite que o proprietário de um domínio declare quais servidores de e-mail estão autorizados a enviar em nome desse domínio, e permite que os destinatários rejeitem ou coloquem em quarentena e-mails que não conseguem provar que vieram de um deles. Quando a UNC1151 envia uma isca a partir de uma conta do Gmail genuína e recém-criada, esse e-mail é exatamente o que afirma ser: uma mensagem real de um endereço real do Gmail, autenticada corretamente pela própria infraestrutura do Google. Não há domínio falsificado para o DMARC detectar, porque o Google não está sendo personificado. Quando a campanha usa, em vez disso, um domínio recém-registrado sob .icu ou .digital, ou um subdomínio do Netlify, o DMARC desse domínio (se o atacante se der ao trabalho de configurar um) também vai passar limpo, já que o atacante é o dono absoluto da infraestrutura de envio. O DMARC protege um domínio de ser personificado por outra pessoa. Ele não tem nada a dizer sobre uma mensagem enviada de uma conta ou domínio que o atacante realmente controla, e não tem nenhuma visibilidade sobre o que acontece na página de destino depois do clique, que é exatamente onde ocorre o dano real dessa campanha: a retransmissão por websocket contra o segundo fator.

O Que os Defensores Devem Fazer

Migrar para autenticação resistente a phishing. Chaves de segurança FIDO2 e passkeys não são vulneráveis à retransmissão em tempo real da forma como códigos SMS e avisos TOTP são, porque a prova criptográfica está vinculada ao domínio de origem. Uma página de retransmissão não consegue encaminhar uma prova que não consegue falsificar.

Tratar e-mails de “segurança do Gmail” enviados de endereços do Gmail como intrinsecamente suspeitos. O Google não envia avisos de segurança de conta a partir de endereços pessoais @gmail.com. Essa incoerência sozinha já é um sinal confiável que o treinamento de usuários consegue detectar mesmo quando a mensagem é fluente e sem erros.

Monitorar domínios parecidos recém-registrados em suas fontes de inteligência de ameaças, especialmente os que combinam “google”, “gmail”, “verify” ou “security” com TLDs voláteis como .icu, .digital ou .top, e protocolar pedidos de derrubada rapidamente, já que a infraestrutura desse ator é trocada diariamente.

Manter a aplicação do DMARC para o que ele de fato cobre. Nada disso é um argumento contra o DMARC. Ele continua sendo o controle correto contra alguém que falsifica o próprio domínio da sua organização, e todo domínio que sua organização possui, inclusive os que não usa ativamente para enviar e-mail, deveria continuar travado em p=reject. Simplesmente não é a ferramenta para essa campanha em particular.

A Conclusão

A campanha de Gmail da Ghostwriter é um lembrete de que as operações de phishing mais perigosas cada vez mais contornam completamente a autenticação de e-mail em vez de tentar vencê-la. Uma mensagem enviada de uma conta genuína, para uma caixa de entrada real, seguida de uma página de destino que retransmite um segundo fator roubado em tempo real, se autentica perfeitamente em cada etapa que o DMARC verifica, porque nada na infraestrutura de envio é fraudulento. A fraude acontece inteiramente depois do clique. Defender-se disso exige credenciais resistentes a phishing e inteligência de domínios que se move rápido, junto com a aplicação do DMARC, não em seu lugar.


A Excello Mail oferece visibilidade contínua sobre seus relatórios agregados de DMARC e suas fontes de envio, para que você sempre saiba o que está se autenticando como seu próprio domínio enquanto sua equipe constrói o restante de suas defesas. Cadastre-se gratuitamente na Excello Mail para manter essa visibilidade em vigor.