25.1 C
Brasília
quinta-feira, julho 16, 2026

Erro de cibercriminoso revela rede de golpes que burla segurança do Microsoft 365

- Advertisement -spot_imgspot_img
- Advertisement -spot_imgspot_img

Durante um ataque de phishing direcionado a contas corporativas do Microsoft 365, um cibercriminoso cometeu um erro que gerou a identificação de múltiplos golpes. Pesquisadores da empresa francesa Lexfo descobriram que o atacante deixou seus rastros acidentalmente e encontraram a “caixa de ferramentas” usada para diversas campanhas maliciosas.

A companhia de segurança descobriu isso durante uma varredura de rotina na internet no final de abril de 2026. O criminoso, apelidado de Codemado, executava uma operação de phishing recorrente, mas deixou o diretório do seu servidor aberto. Os pesquisadores encontraram e resolveram olhar o que tinha nesse server.

smart_display

Nossos vídeos em destaque

Uma vez com acesso ao servidor, foi descoberto o kit que esse cibercriminoso utilizava em seus ataques. Ao investigar um pouco mais, a Lexfo descobriu que essas ferramentas não eram usadas somente por Codemado, mas também por dois outros atacantes maliciosos, chamados de mail-argenta e saroula01.

Diferente dos ataques de força bruta, nos quais o criminoso tenta adivinhar as senhas repetidamente, essa nova onda de invasões foca no roubo de tokens de sessão. É como se esses tokens fossem uma grande credencial que um site emite após um usuário inserir sua senha e o código de autenticação multifatorial (MFA).

Codemado usava o software Madoo Blaster, uma interface para geranciamento de spams (Imagem: Lexfo/reprodução)

O principal risco dessas campanhas é a falsa sensação de segurança. Como a vítima passa pelo processo de MFA, ela acredita estar protegida. No entanto, o ataque ocorre depois dessa etapa. Isso é uma porta aberta para o sequestro de dados importantes da plataforma que o usuário tenta acessar.

Quando o MFA não resolve

O centro do ataque ao Microsoft 365 e a caixa de ferramentas dos criminosos reside nos tokens. Essas ferramentas encontradas não são inéditas, mas sim versões modificadas de um software de código aberto chamado Evilginx, disponível publicamente no GitHub. A partir disso, eles usaram IAs como o Claude para criar um ecossistema de phishing.

A metodologia utilizada por Codemado e email-agenta usa esse Evilginx para criar uma cópia perfeita da página de login da Microsoft. Quando a vítima acessa o link falso, o servidor do criminoso se coloca no meio da comunicação. A vítima digita a senha e o MFA e o servidor do hacker repassa isso em tempo real para a Microsoft.

O resultado desse processo é que a Microsoft acaba validando o token de sessão e o hacker guarda uma cópia disso, sem que a vítima perceba.

Já o esquema de saroula01 usa o “Device Code Flow”, que é aquele código usado em SmartTVs para fazer logins em aparelhos por meio de um QR Code na tela. O hacker gera um desses códigos e envia um e-mail falso à vítima, alertando sobre um “problema no autenticador” e pedindo que ela acesse o site oficial da Microsoft para inserir o código.

undefined
Cibercriminosos usaram a IA CyberNeurova para gerar scripts sem restrições (Imagem: Lexfo/reprodução)

A vítima entra no site real, coloca sua senha, passa pelo MFA verdadeiro e digita o código do hacker. Ao fazer isso, ela autoriza remotamente o acesso do criminoso à sua conta corporativa. Em ambos os casos, o acesso aos tokens por parte dos criminosos ocorre sem que a vítima perceba.

Como se proteger de ataques assim?

O grande problema em ataques direcionados ao MFA é que eles são um mecanismo de segurança legítimo. As vítimas não podem fazer muita coisa, visto que esse recurso já é a grande recomendação de vários especialistas para evitar golpes.

A Lexfo recomenda que empresas adotem soluções de autenticação multifatorial resistentes a phishing, como o FIDO2 ou chaves de segurança via biometria.

Por falar em golpes, o famoso vírus Redhook evoluiu e agora utiliza uma função nativa do próprio Android para roubar usuários e controlar celulares. Siga o TecMundo no X, Instagram, Facebook e YouTube e assine a nossa newsletter para receber as principais notícias e análises diretamente no seu e-mail.

[Fonte Original]

- Advertisement -spot_imgspot_img

Destaques

- Advertisement -spot_img

Últimas Notícias

- Advertisement -spot_img