Durante muito tempo, a imagem mais comum de um ataque cibernético esteve associada a malwares, arquivos suspeitos, exploração de endpoint, conexões estranhas e atividades técnicas relativamente visíveis para as equipes de segurança. Esse cenário continua existindo, mas já não representa sozinho a forma como muitos adversários operam.
Um caso recente analisado pela CrowdStrike mostra essa mudança com bastante clareza. Os grupos CORDIAL SPIDER e SNARKY SPIDER vêm conduzindo campanhas de roubo de dados e extorsão com foco em ambientes SaaS, explorando vishing, páginas falsas de SSO, abuso de MFA e sessões autenticadas. Segundo a CrowdStrike, essas campanhas estão ativas desde pelo menos outubro de 2025 e foram desenhadas para operar dentro de plataformas confiáveis, muitas vezes com pouca ou nenhuma dependência de malware tradicional.
O ponto mais relevante desse caso é que o ataque não começa necessariamente com a invasão técnica de uma máquina. Ele pode começar com uma ligação convincente, feita por alguém se passando por suporte de TI, direcionando o usuário para uma página falsa de autenticação corporativa. A partir daí, o adversário captura credenciais, tokens ou dados de autenticação em tempo real e usa a relação de confiança entre o provedor de identidade e as aplicações SaaS conectadas para acessar ambientes como Google Workspace, SharePoint, Salesforce, HubSpot e outras plataformas críticas.
Esse tipo de ataque desafia o modelo de defesa centrado apenas em endpoint. Quando o invasor opera com uma identidade válida, em uma sessão aparentemente legítima e dentro de aplicações aprovadas pela empresa, os sinais de risco são mais sutis. O problema não é mais identificar apenas um arquivo malicioso ou uma execução suspeita, mas entender quando um usuário autenticado começa a se comportar de forma incompatível com sua rotina, seu contexto e seu perfil de acesso.
Na prática, a ameaça deixa de explorar apenas vulnerabilidades técnicas e passa a explorar relações de confiança: confiança no suporte de TI, no SSO, no MFA, nas aplicações SaaS e nos fluxos normais de trabalho. Por isso, a defesa precisa correlacionar identidade, SaaS, e-mail, endpoint, cloud e inteligência de ameaças em uma visão única, capaz de transformar eventos aparentemente isolados em uma narrativa de ataque compreensível para o SOC.
O SaaS virou uma superfície crítica de ataque
A consolidação de ambientes SaaS trouxe ganhos claros de produtividade, integração e escala. Empresas passaram a centralizar fluxos de colaboração, vendas, atendimento, documentos, marketing, finanças e operações em plataformas conectadas por SSO e acessíveis a partir de qualquer lugar. Para o negócio, isso ampliou a agilidade. Para os atacantes, também criou uma superfície rica em dados, permissões e relações de confiança.
O caso de CORDIAL SPIDER e SNARKY SPIDER mostra exatamente esse movimento. Em vez de tentar comprometer cada aplicação isoladamente, os adversários buscam comprometer a identidade que dá acesso a várias delas. A partir de uma conta autenticada, conseguem transitar por aplicações confiáveis, pesquisar dados sensíveis, criar regras para ocultar notificações e iniciar processos de exfiltração com rapidez.
Esse tipo de ameaça é especialmente relevante porque muitas organizações ainda tratam SaaS como uma extensão natural do ambiente corporativo, mas nem sempre aplicam a mesma profundidade de detecção, resposta e postura de segurança que aplicam a endpoints, servidores ou infraestrutura cloud. O resultado é uma lacuna entre o quanto o negócio depende dessas plataformas e o quanto o SOC consegue enxergar o que acontece dentro delas.
SSO e MFA continuam essenciais, mas não bastam sozinhos
SSO e MFA seguem sendo controles fundamentais para reduzir risco. Eles melhoram a experiência de acesso, diminuem a dispersão de credenciais e elevam a barreira contra intrusões oportunistas. O problema é que, em campanhas mais sofisticadas, esses mesmos fluxos podem ser manipulados por engenharia social e ataques adversary-in-the-middle.
Segundo a CrowdStrike, os adversários observados nesses casos podem registrar dispositivos MFA controlados por eles e, em algumas situações, remover métodos anteriores. Também foram observadas regras de caixa de entrada criadas para apagar notificações de segurança, como alertas sobre MFA e atividades suspeitas.
Esse detalhe é importante porque reforça uma mudança de perspectiva. A autenticação não pode ser vista como o fim da validação. A pergunta não é apenas se o usuário conseguiu passar pelo MFA, mas se o comportamento após a autenticação faz sentido. Um novo fator cadastrado, uma regra de e-mail criada, uma busca por termos sensíveis em SharePoint, um download fora do padrão ou um acesso sequencial a múltiplas aplicações podem ser sinais discretos de uma mesma cadeia de ataque.
A defesa moderna precisa observar a sessão, não apenas o login.
Malware-free não significa menos perigoso
O caso também se conecta a uma tendência mais ampla apontada pela CrowdStrike: ataques cada vez menos dependentes de malware tradicional. No CrowdStrike 2026 Global Threat Report, a empresa afirma que 82% das detecções em 2025 foram malware-free. O mesmo relatório aponta que o tempo médio de breakout de adversários eCrime caiu para 29 minutos, com o breakout mais rápido observado em 27 segundos.
Esses números ajudam a contextualizar porque ataques centrados em identidade e SaaS são tão relevantes. Quando o adversário usa credenciais válidas, sessões autenticadas, ferramentas nativas e aplicações aprovadas, o incidente pode não gerar os sinais clássicos esperados por defesas tradicionais. Não há necessariamente um arquivo malicioso para bloquear, um payload evidente para analisar ou um comportamento de malware fácil de classificar.
Isso não torna o ataque menos grave. Pelo contrário. Um ataque sem malware pode ser mais difícil de perceber justamente porque se mistura à rotina operacional. Ele se apoia em acessos legítimos, permissões existentes e plataformas que a organização já confia. A diferença entre uma ação normal e uma ação maliciosa passa a depender do contexto.
O risco não está em uma única camada
Uma das principais lições desse caso é que o ataque moderno raramente pertence a uma única categoria. Ele começa em engenharia social, passa pela identidade, usa SSO, manipula MFA, opera dentro de SaaS, busca dados sensíveis, pode criar regras para ocultar alertas e, por fim, evolui para exfiltração e extorsão.
Se cada parte dessa cadeia é analisada separadamente, o SOC recebe apenas fragmentos. Um login suspeito em uma ferramenta, uma regra de inbox em outra, uma busca incomum em SharePoint, um download em Salesforce ou uma alteração de MFA no provedor de identidade podem parecer eventos desconectados. O desafio é correlacionar esses sinais rápido o suficiente para entender que eles fazem parte da mesma sequência.
É nesse ponto que a abordagem da CrowdStrike se conecta diretamente ao problema. A plataforma Falcon combina segurança de endpoint, identidade, SaaS, cloud, inteligência de ameaças, Next-Gen SIEM e capacidades de resposta em uma lógica de defesa cross-domain. A CrowdStrike posiciona sua plataforma como uma base nativa em nuvem para proteger endpoints, workloads em cloud, identidades e dados, com visibilidade e priorização de atividade maliciosa.
Onde a CrowdStrike se conecta ao caso
A conexão mais direta está no Falcon Shield, solução que a CrowdStrike destaca justamente para identificar e interromper ataques centrados em SaaS que escapam da visibilidade tradicional de endpoint. No caso de CORDIAL SPIDER e SNARKY SPIDER, a empresa aponta a capacidade de detectar padrões suspeitos de login, registros anômalos de MFA, regras maliciosas de inbox, buscas por dados sensíveis e downloads incomuns.
A segunda conexão está em Falcon Identity Protection. Como o ataque começa com abuso de identidade, credenciais, sessões e MFA, a defesa precisa avaliar risco de acesso e comportamento pós-login. Identidades comprometidas podem operar dentro de fluxos legítimos, por isso a análise precisa ir além da autenticação inicial.
A terceira conexão está no Falcon Next-Gen SIEM, especialmente pela necessidade de reunir sinais de IdP, SaaS, endpoint, e-mail, cloud e inteligência de ameaças. Em ataques rápidos, o SIEM não pode ser apenas um repositório de logs. Ele precisa ajudar o SOC a transformar dados distribuídos em contexto operacional e apoiar decisões de resposta.
Também há conexão com Charlotte AI e a proposta de agentic SOC. Ataques centrados em SaaS e identidade geram sinais distribuídos e exigem triagem rápida. A IA pode apoiar o analista ao resumir evidências, acelerar investigação, priorizar hipóteses e reduzir trabalho manual, desde que com governança e supervisão. Esse ponto é importante porque a velocidade de exfiltração e extorsão não combina com investigação lenta e fragmentada.
Por fim, há uma conexão clara com a inteligência de adversários da CrowdStrike. O valor não está apenas em detectar uma ação isolada, mas em compreender táticas, técnicas e procedimentos de grupos específicos. O acompanhamento de adversários como CORDIAL SPIDER e SNARKY SPIDER permite transformar conhecimento sobre comportamento ofensivo em defesa prática.
O que empresas devem aprender com esse caso
O primeiro aprendizado é que SaaS precisa entrar definitivamente no centro da estratégia de segurança. Aplicações como Google Workspace, SharePoint, Salesforce, HubSpot e outras plataformas corporativas não podem ser tratadas apenas como ferramentas de produtividade. Elas concentram dados críticos e, quando conectadas por SSO, podem ampliar o impacto de uma identidade comprometida.
O segundo aprendizado é que a identidade precisa ser monitorada durante toda a sessão. Habilitar MFA é indispensável, mas a organização também precisa observar novos registros de fatores, remoção de métodos, padrões de login, mudanças em regras de e-mail, acessos fora do padrão e comportamento anômalo dentro das aplicações.
O terceiro aprendizado é que o SOC precisa de correlação. Um alerta isolado raramente conta a história completa. A defesa precisa unir sinais de múltiplas fontes para entender o contexto do ataque e agir antes que a exfiltração avance.
O quarto aprendizado é que ataques sem malware não são exceção. Eles já representam parte significativa do cenário atual e exigem uma mudança de mentalidade. Se a organização mede sua capacidade de defesa apenas pela detecção de malware, ela pode estar deixando de enxergar um conjunto crescente de ataques baseados em identidade, acesso e abuso de plataformas legítimas.
As campanhas de CORDIAL SPIDER e SNARKY SPIDER mostram que o ataque contemporâneo pode operar de forma muito mais discreta do que os modelos tradicionais sugerem. Em vez de depender de malware, ele pode começar com engenharia social, capturar uma sessão SSO, manipular MFA, acessar aplicações SaaS e buscar dados sensíveis dentro de ambientes confiáveis.
Esse cenário exige que a defesa enxergue além do endpoint. A organização precisa entender comportamento de identidade, postura de SaaS, atividade em aplicações, sinais de e-mail, contexto de cloud e inteligência de adversários em uma visão integrada.
A CrowdStrike se conecta diretamente a esse desafio com uma plataforma que reúne Falcon Shield, Falcon Identity Protection, Falcon Next-Gen SIEM, Charlotte AI, threat intelligence, MDR e capacidades de resposta para ajudar empresas a detectar e conter ataques que abusam da confiança em vez de depender apenas de malware.
Para a M3Corp, a mensagem é clara: proteger o ambiente moderno exige entender onde a confiança pode ser explorada. Em um cenário em que SaaS, SSO e identidades conectam grande parte do negócio, a defesa precisa acompanhar o caminho real do adversário, da engenharia social ao dado sensível.
Fontes
CrowdStrike — Defending Against CORDIAL SPIDER and SNARKY SPIDER with Falcon Shield
The Hacker News — Cybercrime Groups Using Vishing and SSO Abuse in Rapid SaaS Data Theft Attacks
https://thehackernews.com/2026/05/cybercrime-groups-using-vishing-and-sso.html
CrowdStrike — 2026 Global Threat Report
https://www.crowdstrike.com/en-us/global-threat-report/
CrowdStrike — 2026 Global Threat Report: Key Findings
https://www.crowdstrike.com/en-us/blog/crowdstrike-2026-global-threat-report-findings/
CrowdStrike — CrowdStrike Falcon Platform
https://www.crowdstrike.com/en-us/platform/
CrowdStrike — Falcon Next-Gen SIEM
https://www.crowdstrike.com/en-us/platform/next-gen-siem/
CrowdStrike — Charlotte AI
https://www.crowdstrike.com/pt-br/platform/charlotte-ai/
CrowdStrike — Falcon Next-Gen SIEM: Incident Management
https://www.crowdstrike.com/pt-br/platform/next-gen-siem/incident-management/
CrowdStrike — Agentic SOC Transformation
https://www.crowdstrike.com/en-us/solutions/agentic-soc-transformation/
Reuters — CrowdStrike to buy identity security startup SGNL for $740 million to tackle AI threats
https://www.reuters.com/technology/crowdstrike-buy-identity-security-startup-sgnl-740-million-ta
Posts recentes
