Sun, 12 Apr 2026
← BackPhishing campaign uses device code authentication flow to compromise organizational accounts. Automated and dynamic attack increases success rate.
A Microsoft Defender Security Research observou uma campanha generalizada de phishing que abusa do fluxo de autenticação por código de dispositivo (device code) para comprometer contas organizacionais em escala. Diferente de ataques tradicionais, esta campanha demonstrou maior taxa de sucesso impulsionada por automação e geração dinâmica de códigos, segundo o blog oficial da Microsoft. Ameaça em evolução: o kit EvilTokens Bill Legue, threat hunter líder da AppOmni, afirmou que a campanha EvilTokens “reflete um padrão consistente e crescente em ataques SaaS. Os atacantes não estão mais tentando invadir.
Eles estão fazendo login com acesso válido. A identidade é agora a principal superfície de ataque; tokens são o novo mecanismo de persistência; e recursos nativos estão sendo transformados em armas. Se um atacante tem acesso válido, os controles de segurança tradicionais são frequentemente insuficientes. As equipes de segurança devem pensar em contenção e redução contínua de risco: restringir o fluxo de código de dispositivo, revogar sessões ativas e validar identidade continuamente.” Como funciona o ataque O dispositivo de código é um fluxo OAuth legítimo projetado para dispositivos com interfaces limitadas (como TVs inteligentes).
Neste modelo, o usuário recebe um código curto no dispositivo e o insere em um navegador separado para concluir a autenticação. A campanha observada pela Microsoft utiliza este fluxo de forma maliciosa: os atacantes iniciam o fluxo e fornecem o código ao usuário por meio de um phishing. Quando o usuário insere o código, ele autoriza a sessão do atacante sem perceber. Automação e geração dinâmica de códigos Os atacantes utilizaram plataformas de automação como Railway.com para criar milhares de nós de polling de curta duração.
A geração dinâmica de códigos contorna a janela de expiração de 15 minutos dos códigos de dispositivo: o código só é gerado no momento em que a vítima clica no link malicioso, garantindo que ele esteja ativo quando o usuário é solicitado a inseri-lo. Iscas personalizadas e pós-comprometimento IA generativa foi usada para criar e-mails de phishing hiperpersonalizados alinhados à função da vítima. Após a autenticação, os atacantes realizaram enriquecimento automatizado de alvos para identificar indivíduos em funções financeiras ou executivas, criaram regras de caixa de entrada maliciosas e realizaram reconhecimento via Microsoft Graph para mapear permissões. Recomendações da Microsoft A Microsoft recomenda bloquear o fluxo de código de dispositivo onde não for necessário via Acesso Condicional, educar usuários, configurar políticas antifishing e Safe Links, e implementar políticas baseadas em risco de login.