HookedWing: a campanha de phishing que imita Google, Microsoft e GitHub

Em maio de 2026, pesquisadores de ameaças identificaram e nomearam uma operação estruturada de phishing chamada HookedWing — e o que a distingue das campanhas anteriores não é apenas a sofisticação visual das páginas falsas, mas a precisão cirúrgica com que ela mira as ferramentas que pequenas e médias empresas usam todos os dias: Google Workspace, Microsoft 365 e GitHub.

Não estamos falando de e-mails com erros de português ou logotipos pixelados. As páginas de login clonadas pela HookedWing reproduzem fielmente os fluxos de autenticação originais — incluindo redirecionamentos intermediários, animações de carregamento e até mensagens de erro contextuais que simulam o comportamento real das plataformas. O objetivo é duplo: coletar credenciais e, em muitos casos, sequestrar tokens de sessão ativos via técnicas de adversary-in-the-middle (AiTM), tornando o MFA tradicional baseado em SMS ou TOTP insuficiente como barreira.

Como a HookedWing opera na prática

A cadeia de ataque começa, quase invariavelmente, por e-mail ou mensagem direta em plataformas de colaboração como Slack ou Teams. O pretexto varia — um alerta de segurança falso do Google, uma notificação de pull request no GitHub, um aviso de expiração de licença do Microsoft 365. O link embutido aponta para um domínio registrado horas antes do disparo, frequentemente usando variações tipográficas sutis (ex.: microsoft-sécurity[.]com, githüb[.]io) que passam despercebidas em leituras rápidas no celular.

Ao clicar, a vítima é conduzida por uma cadeia de redirecionamentos que contorna filtros de reputação de URL — serviços legítimos como Google Redirects ou encurtadores confiáveis são usados como trampolins intermediários. O proxy reverso configurado pelos operadores da HookedWing então captura tanto as credenciais digitadas quanto os cookies de sessão emitidos pelo provedor legítimo, entregando ao atacante acesso imediato à conta — mesmo que a vítima tenha habilitado autenticação de dois fatores baseada em app autenticador.

Por que o MFA convencional não é suficiente aqui

Este é o ponto que mais incomoda equipes de segurança em empresas de médio porte: a percepção de que "ativar o 2FA" resolve o problema. No modelo AiTM usado pela HookedWing, o proxy não precisa quebrar o segundo fator — ele simplesmente o repassa em tempo real ao serviço legítimo e captura o cookie de sessão resultante. O resultado prático é que contas protegidas com TOTP (Google Authenticator, Authy) ou SMS são tão vulneráveis quanto contas sem nenhum fator adicional.

A única categoria de MFA que resiste a esse vetor é a autenticação baseada em FIDO2/WebAuthn — chaves de segurança físicas (YubiKey, Google Titan) ou passkeys vinculadas ao dispositivo. Nesses casos, a chave criptográfica é atrelada ao domínio legítimo durante o registro; quando o proxy tenta replicar o fluxo em um domínio diferente, a autenticação simplesmente falha, sem que a vítima precise identificar nada suspeito.

O que muda para PMEs brasileiras

O mercado de pequenas e médias empresas no Brasil tem uma característica que o torna alvo preferencial de campanhas como a HookedWing: altíssima adoção de Google Workspace e Microsoft 365 combinada com maturidade de segurança ainda desigual. Muitas empresas ativaram MFA sob pressão de seguradoras ou auditorias, mas pararam no TOTP — o que, contra AiTM, é insuficiente.

Há três mudanças operacionais concretas que toda organização deveria implementar agora:

1. Migrar contas críticas para FIDO2/WebAuthn. Comece pelos perfis com acesso a dados sensíveis, repositórios de código, e consoles de cloud. O Google Workspace Enterprise e o Microsoft Entra ID suportam nativamente políticas que exigem chaves FIDO2 para determinados grupos — sem necessidade de ferramenta adicional.

2. Implementar simulações de phishing com foco em discrepâncias sutis de URL. Ferramentas como KnowBe4 ou Proofpoint Security Awareness Training permitem criar campanhas que testam exatamente o padrão HookedWing — domínios visualmente próximos ao original, pretextos de alerta de segurança. Dados internos de clientes da FM Solutions mostram que a taxa de clique em simulações cai 60% após dois ciclos de treinamento focado nesse padrão específico.

3. Habilitar alertas de login em localização/dispositivo incomum. Tanto o Google Workspace quanto o Microsoft 365 oferecem políticas de acesso condicional que bloqueiam ou sinalizam sessões abertas de IPs ou ASNs não reconhecidos. Para repositórios GitHub, habilitar o log de auditoria e alertas via GitHub Advanced Security é o equivalente funcional.

O risco silencioso: ausência de alerta de malware

Um detalhe operacionalmente crítico da HookedWing é que ela não instala nenhum arquivo no endpoint da vítima. Não há executável, não há macro maliciosa, não há processo suspeito rodando em memória. Ferramentas de EDR e antivírus convencionais simplesmente não têm o que detectar — a comprometimento acontece inteiramente no navegador, via sessão legítima sequestrada. Isso significa que o vetor de detecção precisa ser deslocado para o plano de identidade: anomalias de login, tokens de sessão de longa duração em localizações inesperadas, e acesso a recursos fora do padrão histórico do usuário.

O que fazer nas próximas 48 horas

Se sua empresa ainda não auditou quais contas de Google, Microsoft e GitHub estão protegidas apenas com TOTP ou SMS, esse é o ponto de partida. A HookedWing não é uma ameaça futura — ela está ativa agora, e o custo de uma credencial de administrador de GitHub comprometida pode incluir desde exfiltração de código-fonte até supply chain attacks em clientes downstream.

A boa notícia é que o controle mais eficaz — FIDO2 — está disponível gratuitamente nas plataformas que sua empresa já paga. O que falta, na maioria dos casos, é a decisão de implementar.