A equipe de Threat Intel da Infoblox identificou uma campanha coordenada de phishing que mira pelo menos 18 universidades nos Estados Unidos, impulsionada pelo amplamente utilizado toolkit “Evilginx”. O Evilginx é um framework avançado e de código aberto que utiliza a tática de adversary-in-the-middle (AiTM) para capturar credenciais de acesso e cookies de sessão, permitindo, assim, driblar a autenticação multifator (MFA) utilizada em portais acadêmicos.

Entre as instituições mais visadas estão: Universidade da Califórnia em Santa Cruz, Universidade da Califórnia em Santa Barbara, Universidade de San Diego, Universidade da Comunidade da Virgínia (Virginia Commonwealth University) e Universidade de Michigan.

A seguir, os principais insights identificados pela Infoblox:

• Uso do Evilginx para sequestrar contas estudantis: O hacker utilizou o Evilginx (provavelmente a versão 3.0), um kit AitM de código aberto que faz proxy do fluxo real de login e captura cookies de sessão, permitindo assumir contas mesmo quando a MFA está habilitada.
• Padrões de DNS revelam 70 domínios relacionados: Apesar de URLs de curta duração e do uso de Cloudflare para mascaramento, o agente  deixou “marcas” identificáveis no DNS. Isso permitiu à Infoblox mapear quase 70 domínios vinculados e acompanhar a atividade entre abril e novembro de 2025.
• 18 universidades alvo de e-mails personalizados: Estudantes receberam links TinyURL dinâmicos gerados via Evilginx, cada um imitando os portais de SSO das instituições, com subdomínios adaptados à identidade visual e URLs únicas para cada vítima.
• Táticas avançadas de evasão dificultam a detecção: A campanha utilizou proxies da Cloudflare, URLs efêmeras e ofuscação por reverse proxy para driblar scanners e ocultar a origem da infraestrutura.

A investigação começou quando um profissional de segurança de uma das instituições atacadas reportou uma atividade de login suspeita, levando a Infoblox a analisar os padrões de DNS associados ao incidente. Essa sinalização da comunidade permitiu que os pesquisadores conectassem pontos entre diferentes ambientes de ensino superior e mapeassem uma campanha que vinha operando, em grande parte, sem ser detectada por meses.

“As universidades continuam sendo um alvo frequente para agentes maliciosos, que demonstram pouca preocupação com os prejuízos que causam ou com o valor dos sistemas que paralisam”, afirmou a Dra. Renée Burton, Vice-Presidente de Threat Intel da Infoblox. “Em um caso particularmente triste, invasores conseguiram acessar a Universidade de Washington e comprometer os sistemas do Burke Museum of Natural History. A ação deles acabou destruindo parte do catálogo digital de espécimes de plantas e animais — um acervo inestimável, construído ao longo de anos de trabalho voluntário, que preservava informações sobre espécies extintas e ameaçadas.”

A Infoblox segue monitorando a infraestrutura usada pelo atacante à medida que ele ajusta seu conjunto de ferramentas e amplia o perfil de alvos. Para mais informações, clique aqui