O incidente com o Vercel e as campanhas de phishing que já estão bem à vista

Phishing

Em abril de 2026, equipes de segurança em todo o mundo entraram em modo de crise quando a Vercel — uma das plataformas de implantação em nuvem mais utilizadas — divulgou uma violação de segurança significativa. O incidente, decorrente de um comprometimento da cadeia de suprimentos em um fornecedor terceirizado, levou as equipes de segurança a se mobilizarem para investigar tudo o que estivesse relacionado à infraestrutura da Vercel.

No entanto, muitas dessas investigações podem ter revelado um risco à segurança cibernética que era totalmente distinto da própria violação. Muito antes de o incidente de abril de 2026 chegar às manchetes, os invasores já vinham, de forma independente, se aproveitando da plataforma de hospedagem gratuita da Vercel como um elemento-chave de sua infraestrutura de ataque, utilizando subdomínios *.vercel.app para realizar campanhas de phishing destinadas a roubar credenciais.

Na verdade, INKY detectando e bloqueando essas campanhas de phishing desde dezembro de 2025, meses antes da divulgação da violação da Vercel. Entre mais de 6.000 e-mails bloqueados direcionados a mais de 2.000 organizações, surgiram três grupos distintos de campanhas. Embora os invasores operassem de forma independente e usassem iscas diferentes, eles compartilhavam uma tática notável: hospedar páginas destinadas à coleta de credenciais em subdomínios gratuitos *.vercel.app.

Este relatório abrangente examina os três grupos de campanhas, detalha as técnicas por trás deles e esclarece o que a violação da Vercel e esses ataques de phishing têm — e não têm — em comum.

Resumo rápido: Visão geral do fluxo do ataque 

Grupos detectados:três campanhas distintas de phishing, todas utilizando a hospedagem gratuita do Vercel.app como infraestrutura para a coleta de credenciais 

Métodos de entrega:uso indevido da plataforma Google AppSheet | Contas do Microsoft 365 comprometidas | Domínio de envio controlado pelo invasor

Carga útil:links maliciosos hospedados em subdomínios gratuitos do tipo *.vercel.app que levam a páginas destinadas a roubar credenciais 

Alvos:Ataques do tipo “spray and pray” + spear phishing direcionado ao setor de construção civil e serviços especializados 

Volume INKY :mais de 6.283 e-mails bloqueados em mais de 2.030 organizações, de dezembro de 2025 a maio de 2026

O incidente de segurança do Vercel: Contexto

Em abril de 2026, a Vercel divulgou uma violação de segurança que teve origem em um ataque à cadeia de suprimentos envolvendo a Context.ai, um fornecedor terceirizado. De acordo com a Vercel, um funcionário da Context.ai foi infectado pelo malware Lumma Stealer — um infostealer amplamente utilizado, frequentemente distribuído por meio de downloads de software malicioso. O malware permitiu que o invasor roubasse tokens OAuth do Google Workspace do dispositivo do funcionário.

Com esses tokens em mãos, o invasor obteve acesso aos sistemas internos da Vercel e, por fim, chegou às variáveis de ambiente dos clientes — segredos de configuração armazenados junto às aplicações implantadas. Essas variáveis podem conter informações confidenciais, como chaves de API, credenciais de banco de dados e tokens de serviços de terceiros. Posteriormente, a Vercel confirmou que o agente malicioso alegou, no BreachForums, ter obtido chaves de acesso ao banco de dados e partes do código-fonte.

Como parte de sua resposta, a Vercel divulgou um indicador-chave de comprometimento (IOC) na forma de um ID de aplicativo OAuth e trabalhou em conjunto com o Google Mandiant, o GitHub, a Microsoft, o npm e a Socket para investigar e conter o incidente. A empresa também afirmou que nenhum pacote do npm foi comprometido durante o ataque.

As campanhas de phishing mencionadas neste relatório foram causadas pela violação de segurança?

Não. Embora ambas envolvam o Vercel, são ameaças totalmente distintas.

As campanhas de phishing analisadas neste relatório utilizaram subdomínios *.vercel.app gratuitos como infraestrutura de hospedagem descartável para páginas destinadas à coleta de credenciais — funcionalidade disponível para qualquer pessoa que crie uma conta no Vercel. A violação, por outro lado, envolveu acesso não autorizado aos sistemas internos do Vercel por meio de credenciais roubadas, obtidas durante um ataque à cadeia de suprimentos de um terceiro.

A sobreposição se deve, em grande parte, à coincidência de datas e à associação com a plataforma. Ambas ganharam destaque em abril de 2026 e, de alguma forma, envolveram a Vercel. Consequentemente, as equipes de segurança que investigam atividades suspeitas relacionadas à Vercel podem se deparar com indicadores de qualquer uma dessas ameaças. A tabela abaixo esclarece como distinguir entre as duas.

Ameaça Chave do COI Onde procurar 
Violação na cadeia de suprimentos da Vercel ID do aplicativo OAuth: 110671459871-30f1…apps.googleusercontent.com Registros de auditoria do Google Workspace 
Campanhas de phishing (este relatório) Remetente variável + URL: *.vercel.app (conteúdo) Plataforma de segurança de e-mail 

Tabela 1: Como diferenciar a violação da Vercel das campanhas de phishing abordadas neste relatório

Três clusters, uma infraestrutura compartilhada

INKY três grupos distintos de phishing que, de forma independente, utilizavam a hospedagem gratuita *.vercel.app como infraestrutura para ataques de roubo de credenciais. Cada grupo diferia no método de execução, no tema da isca e no público-alvo — mas todos levavam as vítimas ao mesmo estágio final: páginas de phishing hospedadas na plataforma da Vercel.

 Grupo A Grupo B Cluster C 
Entrega Uso indevido da plataforma Google AppSheet Contas do Microsoft 365 comprometidas Domínio de origem do remetente pertencente ao invasor 
Tema Lure Suspensão da conta empresarial do Facebook Convite para licitação de obra + PDF falso do OneDrive Agência tributária do governo (CRA) – Comprovante T4 
Resultado da autenticação SPF/DKIM/DMARC aprovados SPF/DKIM/DMARC aprovados SPF/DKIM/DMARC aprovados 
Carga útil Link *.vercel.app no corpo do e-mail Link *.vercel.app dentro de um PDF protegido por senha Link *.vercel.app dentro do anexo em PDF 
Ofuscação Caracteres de largura zero no nome de exibição PDF protegido por senha impede a digitalização Senha exibida no PDF interno; o PDF externo não está criptografado 
Ativo desde Dezembro 2025 Maio 2026 Março 2026 

Tabela 2: Comparação lado a lado dos três grupos de phishing

Grupo 1: Uso indevido do Google AppSheet

O primeiro grupo utilizou indevidamente o Google AppSheet, a plataforma de aplicativos sem código do Google, para enviar e-mails de phishing a partir da infraestrutura legítima do Google. Ao combinar o envio de e-mails confiáveis com páginas destinadas à coleta de credenciais hospedadas no Vercel, os invasores criaram uma campanha que contorna os controles tradicionais de segurança de e-mail, ao mesmo tempo em que parece altamente confiável para os destinatários.

Como funciona

O Google AppSheet é uma plataforma de aplicativos sem código que permite aos usuários criar aplicativos baseados em dados e acionar notificações automáticas por e-mail. Quando um aplicativo do AppSheet aciona uma notificação, o e-mail é enviado a partir de [email protected] — um endereço legítimo da infraestrutura do Google, compartilhado por toda a base de clientes do AppSheet.

Os invasores obtiveram acesso a uma ou mais contas do AppSheet — provavelmente por meio de ataques de “credential stuffing” ou compras em mercados clandestinos — e configuraram o AppSheet para enviar notificações de phishing em grande escala. Todos os e-mails foram enviados por meio da própria infraestrutura do Google e assinados com a chave DKIM do Google.

Por que a autenticação falha como indicador: como os e-mails realmente se originam da infraestrutura do Google, o SPF, o DKIM e o DMARC são todos aprovados com sucesso para o appsheet.com. Não há falsificação envolvida. Consequentemente, os controles tradicionais de segurança de e-mail baseados em autenticação têm poucos motivos para sinalizar as mensagens como suspeitas.

O isco: suspensão da conta empresarial do Facebook

Cada e-mail se faz passar por uma notificação do Facebook Business, alertando os destinatários de que sua conta comercial está sob análise por violações das políticas e será desativada, a menos que sejam tomadas medidas imediatas. A chamada à ação direciona os usuários a um subdomínio *.vercel.app recém-criado, que hospeda uma página destinada a roubar credenciais.

Para evitar ainda mais a detecção, os invasores inseriram caracteres de espaço de cabelo de largura zero (U+200A) entre as letras do nome de exibição. O que aparece visualmente como “Facebook Business” é, na verdade, renderizado como “Fa cebook Bu si ness” no nível do byte. Essa técnica simples de ofuscação contorna as regras de detecção de nomes de exibição por correspondência exata, mantendo-se invisível para o destinatário.

Padrão de linha de assunto

Os assuntos seguem o mesmo formato de nome da empresa + ID alfanumérico aleatório utilizado na campanha mais ampla do AppSheet:

  • Valley Cooling & Refrigeration Co. ZV195545707372SGVP
  • Westside Eye Center RRPU020121773OTD
  • Riverside Charter Academy BE937622771FEE

O ID aleatório garante que não haja dois e-mails com o mesmo assunto, contornando assim os filtros de assunto baseados em assinaturas em toda a campanha.

Exemplos de cabeçalhos de e-mail

Campo de cabeçalho Valor 
De Fa cebook Bu si ness <[email protected]
Assunto [Organização destinatária] [ID alfanumérico aleatório] 
Assinatura DKIM d=appsheet.com (assinado pelo Google) 
FPS Passe 
DMARC Passe 
URL da carga útil *.vercel.app (único por e-mail) 

Tabela 3: Exemplos de cabeçalhos de e-mail da campanha AppSheet/Vercel.app

Fig. 1: Volume diário de e-mails da campanha AppSheet/Vercel.app (5 de abril a 4 de maio de 2026). A divulgação da violação de segurança da Vercel, ocorrida em 19 de abril, está marcada. A atividade da campanha é anterior à divulgação, o que confirma que não há relação de causalidade.

Fig. 2: E-mail de phishing com o endereço AppSheet/Vercel.app exibido em um cliente de e-mail: o nome de exibição mostra “Facebook Business”, criado com caracteres de largura zero invisíveis para o destinatário; o campo “Responder para” redireciona para [email protected]

Fig. 3: Motivos INKY : todos os 6.283 e-mails foram sinalizados como “Conteúdo de phishing”; 5.283 foram adicionalmente sinalizados como “Possível falsificação do remetente”, indicando que INKY uma discrepância entre a identidade do remetente exibida e a infraestrutura do AppSheet

Grupo B: Contas do Microsoft 365 comprometidas — visando o setor de construção civil

O segundo grupo adotou uma abordagem diferente. Em vez de se aproveitar de uma plataforma legítima para enviar e-mails, os invasores utilizaram contas comprometidas do Microsoft 365 pertencentes a empresas reais do setor de construção civil. Ao combinar identidades de remetentes confiáveis, iscas específicas do setor e páginas de phishing hospedadas no Vercel, a campanha foi projetada para se misturar perfeitamente às comunicações comerciais de rotina.

Como funciona

Esse grupo utiliza contas legítimas do Microsoft 365, que foram comprometidas, pertencentes a empresas reais para enviar e-mails de phishing. Ambas as contas identificadas pertenciam a empresas do setor de construção civil e serviços, o que sugere um alvo deliberado em um setor onde convites para licitações provenientes de contatos desconhecidos são comuns e, muitas vezes, esperados.

Como os e-mails são originários de contas genuínas e ativas do Microsoft 365, com autenticação devidamente configurada, eles cumprem naturalmente os requisitos de SPF, DKIM e DMARC. Não se trata de uma técnica de contorno — as mensagens passam na autenticação porque as contas remetentes estão legitimamente autorizadas a enviar e-mails em nome de suas organizações.

O isco: Edital de licitação para obras em formato PDF protegido por senha

Cada e-mail se apresenta como um convite formal para participar de uma licitação de um projeto de construção, dando a impressão de ter sido enviado por um funcionário real de uma empresa legítima. A mensagem descreve um pacote de licitação e fornece uma senha para abrir o PDF anexado, apresentando a senha como uma medida de segurança destinada a proteger informações confidenciais do projeto.

Depois de aberto com a senha fornecida, o PDF exibe uma única página projetada para se parecer com uma notificação de compartilhamento de documentos do Microsoft OneDrive. A página afirma que os arquivos do projeto foram compartilhados com o destinatário e o incentiva a clicar no botão “Visualizar documentos no OneDrive”. Esse botão redireciona a vítima para o site melody-swgd-com.vercel.app, onde uma página destinada a roubar credenciais está à espera.

Por que os PDFs protegidos por senha burlam a verificação: muitas ferramentas de segurança de e-mail não conseguem inspecionar anexos em PDF criptografados por senha sem acesso à chave de descriptografia. Ao colocar a isca de phishing dentro do PDF criptografado e incluir a senha apenas no corpo do e-mail, o invasor separa efetivamente o conteúdo do anexo. Os scanners automatizados se deparam com um arquivo ilegível, enquanto o destinatário pode abri-lo facilmente e visualizar o conteúdo malicioso.

A infraestrutura compartilhada aponta para um único agente mal-intencionado

Ambas as contas comprometidas — pertencentes a empresas diferentes em diferentes estados dos EUA — enviaram e-mails que direcionavam os destinatários para a mesma página de phishing hospedada no Vercel: melody-swgd-com.vercel.app. A reutilização de uma infraestrutura idêntica sugere fortemente que um único agente mal-intencionado comprometeu ambas as contas e as operou em paralelo, utilizando um site centralizado de coleta de credenciais para dar suporte à campanha.

Os pesquisadores também identificaram um URL secundário incorporado nas anotações de link de um arquivo PDF: biddingsth.github.io/bidders/. Isso indica que o agente estava usando o GitHub Pages como uma opção adicional de hospedagem, provavelmente como um mecanismo de backup ou alternativo para a entrega de payloads, em conjunto com o Vercel.

Exemplo de perfil de e-mail

Campo de cabeçalho Valor 
De Real employee name <real-employee@[compromised-domain].com> 
Para [Empresa-alvo] destinatário 
Assunto Convite à Licitação — [Nome da Empresa] [Referência do Projeto] 
Autenticação SPF aprovado, DKIM aprovado, DMARC aprovado (conta autêntica do Microsoft 365) 
Anexo PDF protegido por senha — Projeto 2026 da [Empresa].pdf 
Senha do PDF Incluído no corpo do e-mail 
Conteúdo do PDF Notificação falsa do OneDrive com link para *.vercel.app 
URL da carga útil melody-swgd-com.vercel.app 
URL secundária biddingsth.github.io/bidders/ 

Tabela 4: Exemplo de perfil de e-mail de uma campanha de phishing do Microsoft 365/Vercel

Fig. 4: E-mail de phishing do Grupo B: convite para licitação de obra proveniente de uma conta comprometida do Microsoft 365

Fig. 5: Conteúdo do PDF após a descriptografia com a senha fornecida no corpo do e-mail: compartilhamento falso de um documento do Microsoft OneDrive com um CTA “Visualizar documentos no OneDrive” que redireciona para melody-swgd-com.vercel.app

Fig. 6: Volume de e-mails do Cluster B: duas contas comprometidas do Microsoft 365 enviaram 26 e-mails para 9 organizações em apenas 2 dias (13 e 14 de maio de 2026)

Fig. 7: Motivos INKY : arquivo protegido sinalizado em todos os 26 e-mails; site de phishing detectado no remetente carpetplanet.net, indicando que INKY a URL da carga útil vercel.app como um host de phishing conhecido

Grupo C: Domínio de propriedade do invasor — suplantação de identidade de órgão tributário do governo

O terceiro grupo demonstra que os invasores nem sempre precisam comprometer contas ou se aproveitar de plataformas legítimas para lançar campanhas de phishing eficazes. Em vez disso, esse agente criou sua própria infraestrutura do zero, utilizando um domínio controlado por ele para o envio de e-mails e páginas de phishing hospedadas no Vercel para coletar credenciais.

Como funciona

Ao contrário dos Grupos A e B, esse agente não se aproveita de uma plataforma legítima nem utiliza uma conta invadida. Em vez disso, ele registrou e configurou seu próprio domínio de envio, completo com registros SPF, DKIM e DMARC, para distribuir e-mails de phishing que se passam pela Agência de Receitas do Canadá (CRA).

O nome do remetente aparece como “Agência de Receitas do Canadá (CRA)”, enquanto o domínio de origem real é um domínio controlado por um invasor, sem qualquer vínculo com o governo canadense. Como o domínio está devidamente configurado para autenticação de e-mail, as mensagens passam nos testes de SPF, DKIM e DMARC, apesar de serem maliciosas.

O isco: notificação do comprovante fiscal T4

O e-mail afirma que um comprovante T4 — um comprovante de renda de trabalho do Canadá — está disponível para download. Como coincide com a época da declaração de imposto de renda, a isca é altamente relevante e credível para empresas e funcionários canadenses, que costumam receber comunicações relacionadas a impostos.

Em anexo ao e-mail há um arquivo PDF cujo nome segue o formato “2025 T4SLIP [número de referência].pdf”. Embora o arquivo não esteja criptografado, ele serve como um ponto de passagem para o site de phishing, em vez de conter a carga maliciosa propriamente dita.

Ao ser aberto, o PDF exibe uma única página que se assemelha a um portal de documentos seguro. Ele fornece uma senha (“2026”) e orienta o destinatário a clicar em um link para acessar seu documento fiscal. Esse link direciona os usuários a uma página de phishing recém-criada e hospedada no Vercel, no endereço t4slip[reference].vercel.app, onde tem início o processo de coleta de credenciais.

Exemplo de perfil de e-mail

Campo de cabeçalho Valor 
A partir do nome de exibição Agência de Receitas do Canadá (CRA) 
Remetente network@[domínio-do-invasor].com 
Assunto Novo e-mail da Agência de Receitas do Canadá [Ref.: XXXXX] 
Autenticação SPF aprovado, DKIM aprovado, DMARC aprovado (domínio do próprio invasor) 
Anexo 2025 T4SLIP [número de referência].pdf 
Conteúdo do PDF Portal seguro de documentos com senha e link 
URL da carga útil t4slip[referência].vercel.app 

Tabela 5: Perfil dos e-mails de phishing da amostra do Cluster C (domínio de propriedade do invasor)

Fig. 8: E-mail de phishing do Grupo C que se faz passar pela Agência de Receitas do Canadá, enviado a partir de um domínio registrado pelo invasor e com verificação completa de SPF/DKIM/DMARC

Fig. 9: Carga útil do PDF do Cluster C — página falsa de compartilhamento seguro de arquivos do Microsoft Teams com um link do vercel.app para roubo de credenciais

Fig. 10: Motivos INKY para o Grupo C. Todos os quatro e-mails acionaram todos os motivos simultaneamente. O campo “Reply-To” enganoso indica que INKY que o endereço de resposta divergia do domínio do remetente — um sinal comum em ataques de phishing que se fazem passar por órgãos governamentais

Mapeamento MITRE ATT&CK 

Os três grupos compartilham um núcleo comum de técnicas e diferem em seus métodos iniciais de acesso e entrega.

Técnica ID Grupo A Grupo B Cluster C 
Phishing T1566 Sim Sim Sim 
Link de spearphishing T1566.002 Sim   
Anexo de spearphishing T1566.001  Sim Sim 
Disfarce T1036.005 Sim Sim Sim 
Recursos do Stage: Upload T1608.001 Sim Sim Sim 
Adquirir infraestrutura T1583 Sim Sim Sim 
Relação de confiança / Abuso da plataforma T1199 Sim   
Arquivos ou informações ofuscados T1027 Sim Sim  
Arquivo criptografado/codificado T1027.013  Sim  
Contas comprometidas: E-mail T1586.002  Sim  
Contas válidas T1078  Sim  
Criar contas T1585   Sim 
Execução pelo usuário: Arquivo malicioso T1204.002  Sim Sim 

Tabela 6: Mapeamento das técnicas do MITRE ATT&CK nos três clusters

Todos os três clusters convergem para o T1608.001 (Capacidades da Fase: Upload de Malware) — utilizando o plano de hospedagem gratuito da Vercel como infraestrutura descartável para a coleta de credenciais. Essa convergência entre agentes de ameaças que operam de forma independente sugere que o vercel.app se tornou um recurso amplamente reconhecido no ecossistema de phishing: disponível gratuitamente, implantável instantaneamente, validado por TLS e hospedado em um domínio com sólida reputação.

Por que as proteções tradicionais falham

À primeira vista, essas três campanhas parecem muito diferentes. Uma delas se aproveita indevidamente da infraestrutura do Google, outra utiliza contas comprometidas do Microsoft 365 e a terceira recorre a domínios controlados pelos invasores. No entanto, todas as três conseguem contornar com sucesso muitos dos controles aos quais as organizações tradicionalmente recorrem para identificar e-mails de phishing. O ponto em comum é que elas exploram a confiança depositada em remetentes autenticados, plataformas confiáveis e fluxos de trabalho empresariais familiares.

  • SPF, DKIM e DMARC válidos nos três clusters: cada método de entrega apresenta resultados de autenticação corretos. O cluster A é aprovado porque o e-mail realmente se origina da infraestrutura do Google. O cluster B é aprovado porque o remetente é uma conta legítima e ativa do Microsoft 365. O cluster C é aprovado porque o invasor configurou corretamente a autenticação de e-mail em seu próprio domínio. Nos três casos, a autenticação valida a infraestrutura do remetente, e não a intenção do remetente.
  • Reputação de remetente confiável: A campanha do AppSheet se beneficia da sólida reputação do endereço [email protected], que envia regularmente notificações legítimas em nome do Google. As contas comprometidas do Microsoft 365 herdam a reputação das organizações às quais pertencem. Consequentemente, a filtragem baseada em reputação oferece pouca proteção contra esses ataques.
  • Cargas maliciosas hospedadas em uma plataforma confiável: Todos os três clusters redirecionam as vítimas para páginas de phishing hospedadas em subdomínios *.vercel.app. Como o Vercel é uma plataforma de desenvolvimento legítima e amplamente utilizada, alguns controles de segurança podem aplicar menos rigor aos seus subdomínios. As páginas de phishing também são servidas por HTTPS usando certificados válidos, o que reforça ainda mais a aparência de legitimidade.
  • Anexos criptografados limitam a visibilidade: No Cluster B, o link de phishing está incorporado a um anexo em PDF protegido por senha. Sem a chave de descriptografia, as ferramentas de verificação automatizadas não conseguem inspecionar o conteúdo do arquivo. Se a solução de segurança também não analisar o contexto do e-mail em que o anexo está inserido, a carga útil do phishing permanece oculta à inspeção.
  • A ofuscação do nome de exibição burla as regras de correspondência de nomes: No Cluster A, os invasores inseriram caracteres de largura zero no nome de exibição “Facebook Business”. Embora invisíveis aos destinatários, esses caracteres alteram o texto subjacente o suficiente para burlar as regras de detecção baseadas em correspondência exata e em subcadeias, permitindo que o e-mail de phishing contorne técnicas de filtragem simplistas.

Como a INKY os INKY

A análise comportamental e de IA generativa INKYavaliou o contexto completo de cada e-mail, em vez de se basear em um único sinal:

Cluster A: A combinação de um remetente conhecido e legítimo (AppSheet) com domínios de carga útil *.vercel.app recém-criados e nunca vistos antes foi sinalizada como anômala. INKY a incompatibilidade entre a identidade do suposto remetente (uma notificação comercial) e a infraestrutura de envio real, e detectou conteúdo de phishing no corpo do e-mail, apesar dos resultados de autenticação terem sido válidos.

Grupo B: A IA generativa INKYleu o anexo em PDF protegido por senha — utilizando a senha fornecida no corpo do e-mail — e identificou a isca para roubo de credenciais contida nele. A combinação de um assunto referente a um edital de licitação de obras com um conteúdo falso do OneDrive oculto em um PDF criptografado foi classificada como conteúdo de phishing.

Grupo C: A incompatibilidade entre o nome de exibição da Agência de Receitas do Canadá e um domínio remetente não governamental, combinada com o link *.vercel.app dentro do anexo em PDF, foi sinalizada como conteúdo de phishing com uma identidade de remetente enganosa.

Cluster Motivos da detecção 
A — Uso indevido da plataforma AppSheet Conteúdo de phishing, possível falsificação do remetente, conteúdo de spam, remetente desconhecido 
B — Contas do M365 comprometidas Conteúdo de phishing 
C — Domínio de propriedade do invasor Conteúdo de phishing, endereço de resposta enganoso 

Tabela 7: Motivos para INKY por cluster

Tipo de IOC Valor Cluster 
E-mail do remetente [email protected] 
Padrão de URL *.vercel.app (todos os clusters) A, B, C 
URL melody-swgd-com.vercel.app 
URL biddingsth.github.io/bidders/ 
Padrão de URL t4slip[ref].vercel.app 
Padrão do assunto [Nome da organização] [RANDOM_ALPHANUM_ID] 
Padrão do assunto Convite à Licitação — [Empresa] [Ref] 
Padrão do assunto Novo e-mail da Agência de Receitas do Canadá [Ref:] 
Ofuscação U+200A, espaço de cabelo de largura zero no nome de exibição 
Anexo PDF protegido por senha — conteúdo dentro do arquivo 
Anexo PDF com link para o vercel.app nas anotações B, C 

Tabela 8: Indicadores de comprometimento (IOCs) associados aos três clusters de phishing

Melhores práticas: orientações e recomendações

Os três grupos de phishing analisados neste relatório utilizam táticas diferentes, mas compartilham um objetivo comum: explorar infraestruturas confiáveis e fluxos de trabalho empresariais familiares para roubar credenciais. As recomendações a seguir podem ajudar as equipes de segurança e os usuários finais a reduzir sua exposição a esses ataques e a identificar atividades suspeitas antes que as credenciais sejam comprometidas.

Para equipes de segurança

  • Implemente a autenticação multifatorial (MFA) em todas as contas do Microsoft 365 e do Google Workspace.

O Grupo B demonstra que contas comprometidas com autenticação válida estão entre os ataques mais difíceis de detectar na camada de e-mail. A autenticação multifatorial (MFA) impede a apropriação de contas, mesmo quando as credenciais são roubadas ou adquiridas em mercados clandestinos. A MFA resistente a phishing (FIDO2/chaves de acesso) oferece a proteção mais robusta contra ataques de coleta de credenciais.

E-mails em que o campo “Para” está em branco ou exibe o próprio endereço do remetente, combinados com padrões incomuns de envio (envio em massa, novos domínios de destinatários), podem indicar uma invasão de conta. Implemente a autenticação de duas etapas (MFA) em todas as contas do Microsoft 365 e do Google Workspace.

  • Auditar contas do Microsoft 365 em busca de indicadores de violação.

Após a invasão da conta, os invasores costumam criar regras de encaminhamento da caixa de entrada, enviar e-mails em massa para domínios de destinatários desconhecidos e fazer login a partir de locais desconhecidos. Analise os registros de auditoria do Microsoft 365 em busca desses padrões, especialmente em contas de setores que trocam documentos regularmente com contatos externos — construção civil, logística, serviços financeiros —, que são alvos principais da isca do convite para licitação no Cluster B.

  • Aplique o contexto comportamental aos e-mails provenientes de plataformas SaaS confiáveis.

Os resultados da autenticação, por si só, não são suficientes para identificar abusos na plataforma. Um e-mail enviado por um remetente legítimo do Google, Zoom, DocuSign ou AppSheet que contenha um link para um subdomínio de hospedagem recém-registrado ou da versão gratuita é uma anomalia de alta confiabilidade, independentemente de o SPF, o DKIM e o DMARC terem sido aprovados. Ferramentas de segurança de e-mail que avaliam o contexto completo da mensagem — plataforma do remetente, tempo de existência do destino do link, padrão do assunto e incompatibilidade na identidade do remetente — oferecem uma detecção que os sistemas baseados em regras não conseguem proporcionar.

  • Trate os links *.vercel.app e *.netlify.app provenientes de remetentes desconhecidos com grande cautela.

As comunicações legítimas sobre produtos raramente incluem links para subdomínios de hospedagem gratuita para desenvolvedores. Marque essas comunicações para análise mais detalhada, independentemente da reputação do domínio remetente. Além disso, denuncie implantações abusivas no Vercel. O Vercel aceita denúncias de abuso pelo e-mail [email protected]. Incluir a URL completa *.vercel.app garante a remoção rápida da página destinada à coleta de credenciais.

Se sua organização utiliza o Vercel, verifique os registros de auditoria do Google Workspace em busca do IOC da violação. Pesquise o ID do aplicativo OAuth (110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com) para determinar se algum usuário autorizou o aplicativo comprometido.

Para os destinatários do e-mail

  • Sempre verifique o endereço de remetente real, e não apenas o nome exibido.

Um nome de exibição pode ser definido como qualquer coisa — “Agência de Receitas do Canadá (CRA)”, “Facebook Business” ou “Microsoft OneDrive” — independentemente de quem realmente esteja enviando o e-mail. O endereço real do remetente é exibido ao lado ou abaixo do nome de exibição em todos os principais clientes de e-mail. Órgãos governamentais legítimos no Canadá enviam e-mails a partir de domínios gc.ca (a CRA usa cra-arc.gc.ca). O Facebook envia e-mails de notificação a partir de facebookmail.com. Qualquer mensagem que afirme ser dessas organizações, mas que chegue de um domínio comercial não relacionado, deve ser considerada suspeita antes de mais nada.

  • Verifique o destino do link antes de clicar.

Passe o mouse sobre um link no computador ou mantenha pressionado na tela do celular para ver a URL real antes de acessá-la. Um botão com a legenda “Exibir documentos no OneDrive” ou “Abrir arquivo PDF” que redirecione para um subdomínio *.vercel.app, *.netlify.app ou GitHub Pages não é um serviço da Microsoft nem do governo. As plataformas legítimas hospedam suas próprias páginas de login e de documentos em seus próprios domínios.

  • Considere um anexo protegido por senha, cuja senha esteja no mesmo e-mail, como um sinal de alerta.

Se um anexo estiver criptografado para sua proteção, o remetente não incluiria a senha na mesma mensagem. Quando uma senha é fornecida no corpo do e-mail, a criptografia existe exclusivamente para impedir que ferramentas de segurança automatizadas analisem o anexo — e não para protegê-lo. Abra esses anexos somente se tiver certeza da identidade do remetente por meio de uma verificação independente.

  • Verifique solicitações inesperadas por meio dos canais oficiais, e não por meio de links ou números de telefone contidos no e-mail.

Se você receber um convite para licitação, uma notificação fiscal ou um aviso de suspensão de conta não solicitado e que não esperava, acesse diretamente o site oficial da organização digitando o endereço manualmente ou ligue para o número indicado nesse site. Não utilize os dados de contato, links ou números de telefone fornecidos no e-mail — eles podem levar diretamente ao invasor.

  • Os subdomínios de hospedagem gratuita para desenvolvedores não constituem uma infraestrutura comercial legítima.

Organizações estabelecidas — órgãos governamentais, bancos, grandes empresas — não hospedam documentos oficiais, páginas de login ou formulários fiscais em plataformas gratuitas para desenvolvedores, como vercel.app ou netlify.app. Se um link ou PDF o redirecionar para um subdomínio em uma dessas plataformas no contexto de uma notificação fiscal, fatura ou alerta de conta, é quase certo que o e-mail seja uma tentativa de phishing.

  • Tenha especial cuidado com os editais de licitação dos setores da construção civil e do comércio.

Os invasores do Grupo B visaram especificamente subcontratados e fornecedores que recebem regularmente convites para licitações de contatos desconhecidos. Se você trabalha na construção civil, em gestão de instalações ou em um setor relacionado, verifique qualquer novo convite para licitação ligando diretamente para a empreiteira principal antes de abrir anexos ou inserir credenciais.

Considerações finais

O incidente de segurança da Vercel chamou ampla atenção para a plataforma da empresa em abril de 2026. O que os investigadores que buscavam ameaças relacionadas à Vercel podem ter encontrado em suas filas de segurança de e-mail foram esses três grupos de phishing — campanhas que estavam em andamento há meses, todas escolhendo, de forma independente, o plano de hospedagem gratuita da Vercel como infraestrutura descartável para a coleta de credenciais.

Essa convergência não é mera coincidência. O *.vercel.app oferece tudo o que um operador de phishing precisa de um host de carga útil: implantação instantânea, ausência de verificação de identidade, certificados TLS válidos, alta reputação de domínio e rotação simples quando um subdomínio é retirado do ar. Até que as plataformas de hospedagem gratuita implementem controles mais rigorosos contra abusos, elas continuarão sendo uma infraestrutura atraente para campanhas de phishing em todo o cenário de ameaças.

A lição mais profunda diz respeito à autenticação. Todos os três grupos são aprovados nos testes de SPF, DKIM e DMARC. Todos os três utilizam uma infraestrutura de envio real ou que parece legítima. Os sinais que realmente importam — anomalias comportamentais, contexto da carga útil, toda a cadeia do remetente até o link e a página — exigem uma análise que vai além da inspeção dos cabeçalhos. É aí que a segurança de e-mail baseada em comportamento e em IA oferece uma detecção que os sistemas baseados em regras não conseguem identificar.

Uma plataforma completa para gestão de TI e segurança

Kaseya 365 a solução completa para gerenciar, proteger e automatizar a TI. Com integrações perfeitas entre as principais funções de TI, ele simplifica as operações, reforça a segurança e aumenta a eficiência.

Uma plataforma. Tudo em TI.

Kaseya 365 desfrutam dos benefícios das melhores ferramentas de gerenciamento de TI e segurança em uma única solução.

Conheça o Kaseya 365

Seu sucesso é nossa prioridade número 1

O Partner First é um compromisso com condições flexíveis, risco compartilhado e suporte dedicado para o seu negócio.

Conheça Partner First Pledge

Relatório Kaseya sobre a Situação dos MSP de 2026

Kaseya - Relatório sobre a Situação dos MSP em 2026 - Imagem para a Web - 1200x800 - ATUALIZADO

Obtenha insights sobre o MSP para 2026 com mais de 1.000 prestadores de serviços e descubra como aumentar a receita, adaptar-se às pressões do mercado e manter a competitividade.

Faça o download agora

O verdadeiro custo dos ataques de phishing

Descubra o verdadeiro custo dos ataques de phishing e como a segurança moderna de e-mail bloqueia as ameaças antes que elas afetem sua empresa.

Leia a postagem do blog

Campanha de phishing no Zoom: como os criminosos falsificam alertas da SSA e se aproveitam do ConnectWise ScreenConnect

Saiba como os invasores se valeram do Zoom e do ConnectWise ScreenConnect para enviar alertas falsos da SSA e enganar os usuários em um sofisticado ataque de phishing.

Leia a postagem do blog

Por dentro do golpe das faturas da OpenAI: o abuso do SendGrid e o phishing por callback explicados

Os cibercriminosos nunca param, reinventando constantemente suas táticas para explorar a confiança, a familiaridade e o instinto humano. INKY observando as ameaças

Leia a postagem do blog