A plataforma no-code Bubble está a ser explorada por cibercriminosos para executar campanhas de phishing sofisticadas contra utilizadores e empresas, contornando os sistemas de segurança tradicionais. O alerta parte da Kaspersky, que identificou e documentou a técnica em detalhe. Os atacantes utilizam o Bubble para criar aplicações web intermédias alojadas em domínios legítimos, encaminhando silenciosamente as vítimas para páginas falsas concebidas para recolher credenciais corporativas.
O que é a plataforma no-code Bubble e por que razão atrai os atacantes
O Bubble é uma plataforma que permite criar aplicações web e móveis completas através de uma interface visual, sem necessidade de escrever uma linha de código. Esta acessibilidade, pensada para democratizar o desenvolvimento de software, tornou-se simultaneamente uma vulnerabilidade: qualquer pessoa, incluindo agentes maliciosos sem competências técnicas de programação, pode construir uma aplicação funcional e alojá-la num domínio *.bubble.io.
É precisamente este domínio que confere credibilidade ao esquema. Os filtros de segurança baseados em reputação de domínio tendem a classificar *.bubble.io como legítimo, uma vez que a plataforma no-code Bubble é utilizada por milhares de programadores e empresas para fins genuínos. O atacante aproveita essa reputação como escudo.
Como funciona o ataque: da aplicação falsa à página Microsoft
O esquema opera em duas etapas distintas. Na primeira, a vítima recebe um link para uma aplicação alojada na infraestrutura da plataforma no-code Bubble, que aparenta ser legítima e passa nos filtros de segurança mais comuns. Na segunda etapa, essa aplicação funciona como um redirecionador disfarçado, encaminhando a vítima para uma imitação da página de início de sessão da Microsoft, protegida por uma camada de verificação da Cloudflare para ocultar a intenção maliciosa.
O objetivo final é o roubo de credenciais corporativas. A combinação de um domínio de confiança, uma interface visualmente convincente e uma camada adicional de verificação reduz significativamente a probabilidade de a vítima detetar o esquema antes de introduzir os seus dados.
PhaaS: a industrialização do phishing
A Kaspersky considera provável que esta técnica esteja a ser integrada em plataformas de phishing-as-a-service (PhaaS) e em kits de phishing pré-configurados. Estes kits disponibilizam um conjunto alargado de capacidades maliciosas, que inclui:
- Interceção em tempo real de cookies de sessão
- Execução de campanhas de phishing por serviços legítimos como o Google Tasks e o Google Forms
- Ataques adversary-in-the-middle (AiTM), capazes de contornar a autenticação multifatorial
- Geração de emails de phishing com recurso a IA
- Mecanismos de geofiltragem e evasão para contornar sistemas de deteção
- Alojamento em serviços cloud reputados como a AWS
“O uso de plataformas legítimas como o Bubble introduz um novo nível de abuso de confiança, tornando mais difícil, tanto para os utilizadores como para os sistemas automatizados, distinguir entre conteúdos seguros e maliciosos“, sublinha Roman Dedenok, especialista Anti-Spam da Kaspersky.
O contexto português: números que preocupam
Apesar de não existirem casos reportados em Portugal com recurso específico à plataforma no-code Bubble, a ferramenta tem presença ativa no ecossistema tecnológico nacional, com comunidades locais documentadas. O potencial de exploração já existe. Os dados de contexto reforçam a preocupação: segundo um estudo de Ciberpreparação da Hiscox referente a 2025, 54% das empresas portuguesas já sofreu um ataque cibernético.
Para mais informações, leia este artigo da Kaspersky.
Outros artigos interessantes:
