Se você usa o Microsoft 365, um novo alerta de segurança precisa da sua atenção imediata. Criminosos estão utilizando uma plataforma automatizada e altamente sofisticada para roubar credenciais corporativas e pessoais.
Trata-se do Quantum Route Redirect (QRR), um novo serviço de Phishing-as-a-Service (PhaaS) que já utiliza cerca de 1.000 domínios maliciosos para enganar vítimas e driblar sistemas de proteção.
Neste artigo, vamos detalhar como o QRR funciona, por que ele é tão perigoso e, o mais importante, quais medidas práticas você pode tomar para se proteger dessa ameaça que está se espalhando globalmente.
A empresa de cibersegurança KnowBe4 identificou essa campanha e destacou sua capacidade incomum de enganar ferramentas automatizadas de detecção, direcionando o ataque diretamente a pessoas reais, e não apenas a filtros de e-mail.
O que é o Quantum Route Redirect?
O Quantum Route Redirect não é apenas um golpe de phishing isolado. Ele representa uma plataforma completa de automação cibercriminosa, criada para facilitar a execução de ataques em larga escala.
Em vez de dependerem de habilidades técnicas avançadas, os golpistas podem “alugar” o serviço e começar a aplicar golpes imediatamente, como se fosse um pacote pronto de marketing digital, mas voltado para o crime.
O que é Phishing-as-a-Service (PhaaS)
O termo Phishing-as-a-Service (PhaaS) descreve um modelo de negócio no submundo digital em que criminosos fornecem toda a infraestrutura necessária para executar campanhas de phishing:
- Hospedagem e domínios maliciosos;
- Páginas falsas que imitam serviços legítimos;
- Ferramentas automáticas para coletar e enviar credenciais roubadas.
O QRR segue exatamente essa lógica. Ele vem pré-configurado com modelos de páginas falsas do Microsoft 365, scripts de redirecionamento inteligentes e um sistema de filtragem que garante que apenas vítimas reais vejam o conteúdo malicioso.
Como funciona o ataque do Quantum Route Redirect
A operação do Quantum Route Redirect é meticulosamente planejada e ocorre em várias etapas, combinando engenharia social, automação e técnicas de evasão de segurança.
A isca inicial: De DocuSign a códigos QR
Os ataques geralmente começam com um e-mail de phishing convincente, que pode se passar por:
- Uma solicitação de assinatura do DocuSign;
- Uma notificação de pagamento pendente;
- Uma mensagem de voz corporativa não ouvida;
- Ou até mesmo um código QR, supostamente legítimo.
Essas mensagens são cuidadosamente formatadas para parecerem autênticas e costumam conter logos, assinaturas e domínios muito semelhantes aos originais, o que torna o golpe difícil de perceber à primeira vista.
O “desvio quântico”: Enganando bots e ferramentas de segurança
Aqui está o diferencial do Quantum Route Redirect. O sistema utiliza um mecanismo de filtragem inteligente capaz de distinguir bots de segurança (como scanners de e-mail e antivírus corporativos) de usuários humanos reais.
Quando um robô tenta acessar o link, ele é redirecionado para um site legítimo, como Microsoft.com ou Google.com — o que faz o sistema de segurança acreditar que não há ameaça.
Por outro lado, quando uma pessoa real clica no link, ela é levada a uma página falsa do Microsoft 365, visualmente idêntica à original, onde suas credenciais são capturadas em tempo real.
Essa técnica de redirecionamento seletivo é o que dá nome ao golpe: o “Quantum Route Redirect” — uma rota “quântica” que muda conforme o tipo de visitante.
O alvo final: Contas do Microsoft 365
O Microsoft 365 é o alvo principal por ser um ponto central de acesso a e-mails corporativos, arquivos do OneDrive, SharePoint e dados sensíveis de empresas e organizações.
Segundo o relatório da KnowBe4, o golpe já foi identificado em 90 países, com 76% das detecções concentradas nos Estados Unidos, mas com forte expansão para a Europa e América Latina.
Em um cenário corporativo, uma única credencial comprometida pode permitir que invasores espionem comunicações internas, exfiltrem documentos ou lancem ataques adicionais dentro da própria rede da empresa.
A infraestrutura do golpe
A operação do QRR utiliza uma rede complexa de cerca de 1.000 domínios maliciosos, muitos deles estacionados ou comprometidos, o que dá aparência legítima às URLs.
Os especialistas identificaram um padrão recorrente nas páginas utilizadas:/([\w\d-]+\.){2}[\w]{,3}\/quantum.php/
Esse padrão indica a presença do arquivo quantum.php, um componente essencial do redirecionamento e um dos principais sinais técnicos para detectar o golpe.
O uso de domínios “reais”, mas comprometidos, faz com que o ataque pareça mais confiável e dificulte a detecção automatizada por filtros corporativos.
Como se proteger do Quantum Route Redirect e golpes semelhantes
A boa notícia é que, apesar da sofisticação do Quantum Route Redirect, existem medidas práticas e eficazes para reduzir drasticamente o risco de ser vítima.
Habilite a autenticação multifator (MFA)
A autenticação multifator (MFA) continua sendo a defesa mais poderosa contra o roubo de credenciais.
Mesmo que o invasor obtenha sua senha, ele não conseguirá acessar a conta sem a segunda etapa de verificação (como um código no celular).
Certifique-se de ativar o MFA em todas as contas do Microsoft 365, especialmente nas corporativas.
Desconfie de códigos QR em e-mails
Os códigos QR estão sendo cada vez mais usados para ocultar links maliciosos dos filtros de segurança.
Regra simples: nunca escaneie códigos QR recebidos por e-mail de remetentes que você não conhece ou que pareçam suspeitos.
Verifique o endereço e o padrão da URL
Antes de clicar em qualquer link, passe o mouse sobre ele (sem clicar) para visualizar o destino.
Mesmo que o domínio pareça legítimo, padrões estranhos como “quantum.php” ou combinações aleatórias de subdomínios são fortes indícios de golpe.
Para administradores: Reforce os filtros e monitore logins
A KnowBe4 recomenda que administradores de TI reforcem as defesas com:
- Filtros de URL e e-mail atualizados;
- Políticas de bloqueio de domínios suspeitos;
- Monitoramento contínuo de logins anômalos ou tentativas de acesso de novos dispositivos.
Também é fundamental treinar os colaboradores para reconhecer mensagens suspeitas, reduzindo a chance de que um único clique cause um incidente grave.
Conclusão: A profissionalização do cibercrime
O Quantum Route Redirect é mais um exemplo de como o cibercrime está se transformando em uma indústria de serviços.
Com plataformas de Phishing-as-a-Service (PhaaS), ataques que antes exigiam conhecimento técnico agora estão ao alcance de qualquer pessoa disposta a pagar.
Essa profissionalização torna as campanhas mais difíceis de detectar e amplia o impacto global desses golpes.
Mantenha-se vigilante.
Verifique agora se a autenticação multifator (MFA) está ativa em sua conta do Microsoft 365 e compartilhe este alerta com seus colegas e familiares. A conscientização continua sendo a primeira linha de defesa.
