Uma mensagem inesperada, enviada tarde da noite por um contato pouco frequente, continha um link encurtado com a premissa intrigante: "Me enviaram uma foto sua... é você nas imagens?". Essa abordagem, projetada para despertar curiosidade imediata, levantou suspeitas. A análise inicial sugeriu duas possibilidades: ou o remetente genuinamente acreditava ter visto o destinatário em uma foto, ou, mais provavelmente, sua conta havia sido comprometida e estava sendo usada para disseminar um golpe de phishing. Detalhes como o estilo de escrita incomum, o horário tardio e a ausência de uma assinatura típica para links reforçaram a segunda hipótese. A tentativa de contato direto com o remetente, que estava offline, deixou o analista diante da tarefa de investigar o link por conta própria.
A investigação revelou uma operação de phishing surpreendentemente elaborada. O link inicial, clk1.me/rD7P5E, redirecionava para maxwel.lol, um domínio recém-criado que imitava a tela de login do MAX Messenger, solicitando credenciais de usuário. A análise de maxwel.lol através de ferramentas como app.any.run e VirusTotal expôs uma rede de 179 domínios de phishing associados a um único endereço IP. Essa infraestrutura demonstrava uma operação comercial organizada, com o operador migrando rapidamente entre quatro provedores de hospedagem em apenas cinco dias. O mais alarmante foi a descoberta de que o kit de phishing não era um simples coletor de senhas, mas sim um proxy Man-in-the-Middle (MITM) que interceptava e retransmitia requisições para a API real do MAX Messenger, permitindo o roubo de sessões de usuário e, potencialmente, acesso a serviços integrados como o Gosuslugi.
A vulnerabilidade central reside na política de autenticação pública da API do MAX. A falta de validações cruciais, como a verificação de Origin/Referer, a ausência de um token SDK primário, a falta de vinculação da sessão SMS à identidade do dispositivo e a ausência de confirmação push para novas sessões, criam um cenário propício para ataques. Essa falha, classificada com um CVSS de 8.8 (Crítico), permite que atacantes obtenham acesso completo às contas do MAX, incluindo a capacidade de ler conversas, enviar mensagens em nome da vítima e, devido à integração com o Gosuslugi, potencialmente acessar o portal de serviços públicos para realizar ações fraudulentas. Apesar de um relatório detalhado com PoC (Proof of Concept) e recomendações ter sido enviado ao suporte do MAX, a resposta da empresa tem sido inexistente, deixando a vulnerabilidade exposta para exploração por outros grupos maliciosos.
