Detectados mais de 40 mil e-mails de phishing que imitam Microsoft

São Paulo, 11/12/2025 - Os pesquisadores de segurança de e-mail da Check Point Software acabaram de descobrir uma campanha de phishing em que atacantes se passam por serviços de compartilhamento de arquivos e assinatura eletrônica para distribuir iscas com tema financeiro parecendo notificações legítimas.

Leia também: O que é phishing e como evitar os golpes?

Nesse incidente, os criminosos enviaram mais de 40.000 e-mails de phishing direcionados a aproximadamente 6.100 empresas ao redor do mundo nas últimas duas semanas. Todos os links maliciosos foram direcionados por meio do endereço [https[:]//url[.]za[.]m[.]mimecastprotect[.]com], aumentando a confiança ao imitar fluxos de redirecionamento já conhecidos.

Como funciona o golpe?

Os cibercriminosos exploram o recurso de reescrita de links seguros de uma empresa de segurança de e-mails famosa, a Mimecast, usando-o como uma cortina de fumaça para que seus links parecessem legítimos e autenticados. Como o Mimecast Protect é um domínio confiável, essa técnica permite que URLs maliciosas evitem os filtros automatizados e reduzam a desconfiança dos usuários.

Para ampliar a credibilidade, os e-mails copiam visuais oficiais dos serviços da Microsoft, como logos de produtos, e usam cabeçalhos e rodapés no estilo do serviço; com botões de “revisar Documento”.  Além disso, falsificam nomes de exibição, adicionando termos como “via SharePoint (Online)” ou “via eSignDoc” ao final da assinatura, seguindo padrões comumente identificados como autênticos.

Outra versão do golpe: phishing estilo DocuSign 

Paralelamente à grande campanha envolvendo o MS SharePoint e serviços de assinatura, os pesquisadores também identificaram uma operação menor, porém relacionada, que imita notificações do DocuSign. Assim como o ataque principal, tal operação emula uma plataforma confiável e utiliza infraestrutura legítima de redirecionamento, mas a técnica usada para mascarar o destino malicioso é significativamente diferente.

Na campanha principal, a página do golpe deixa a URL (endereço do site) final visível na sequência de consulta, mesmo estando envelopada por serviços considerados confiáveis. Na variante com tema da DocuSign, o link passa por uma URL do Bitdefender GravityZone, outra empresa de cibersegurança, e depois pelo serviço de rastreamento de cliques da Intercom.

Desta forma, a verdadeira página de destino fica totalmente encoberta atrás de um redirecionamento com identificação exclusiva. Essa abordagem oculta completamente a URL final, tornando a variante que imita o DocuSign ainda mais camuflada e difícil de ser detectada.