ue, 07 Apr 2026
← VoltarUma campanha de phishing abusa da autenticação de código de dispositivo OAuth para contornar a MFA e comprometer contas usando automação assistida por IA.
Uma campanha de phishing que contorna a janela de expiração padrão de 15 minutos por meio de automação e geração dinâmica de código, aproveitando o fluxo de autenticação de código de dispositivo OAuth para comprometer contas organizacionais em grande escala, foi observada pela equipe de pesquisa de segurança do Microsoft Defender. A campanha usa infraestrutura assistida por IA e automação ponta a ponta. Visão geral do ataque A autenticação de código de dispositivo é um fluxo OAuth legítimo projetado para dispositivos que não suportam um login interativo padrão. Neste modelo, um código é apresentado em um dispositivo e o usuário é instruído a inseri-lo em um navegador em um dispositivo separado para concluir a autenticação.
Os invasores abusam desse fluxo para contornar a MFA, desacoplando a autenticação da sessão de origem. Quando um usuário insere o código, ele autoriza inadvertidamente a sessão do invasor, concedendo acesso à conta sem expor credenciais. Fluxo de ataque A fase de reconhecimento começa 10 a 15 dias antes do lançamento da tentativa de phishing, quando os agentes da ameaça confirmam se uma conta de e-mail direcionada existe e está ativa no locatário. A campanha usa um pipeline de entrega de vários estágios que ignora gateways de e-mail e segurança de endpoint.
O ataque começa quando o usuário interage com um URL ou anexo malicioso. Captura de tela de uma campanha em que os códigos foram copiados do navegador para a área de transferência do usuário (Fonte: Microsoft) Os agentes de ameaças evitam scanners de URL automatizados e sandboxes usando domínios legítimos comprometidos e plataformas sem servidor. A interface de roubo de credenciais é hospedada como uma técnica de navegador no navegador que simula uma janela legítima do navegador em uma página da Web ou é exibida em uma visualização de documento hospedado na Web com uma visualização desfocada. Um botão “Verificar identidade” e um código do dispositivo são exibidos.
A campanha usa atrativos como solicitações de acesso a documentos, avisos de assinatura eletrônica e notificações de correio de voz. Os usuários também podem ser solicitados a inserir seus endereços de e-mail para facilitar a geração de um código de dispositivo malicioso. A página vem pré-carregada com automação oculta. Para contornar filtros baseados em reputação, os agentes de ameaças usam uma combinação de domínio shadowing e subdomínios de representação de marca.
Os agentes de ameaças distribuem e-mails enganosos com cargas variadas para motivar os usuários a interagir com um link que leva a uma interface de aparência legítima, mas controlada pelos agentes de ameaças. Quando um usuário clica no link, ele é direcionado para uma página da Web que executa um script de automação em segundo plano que interage com a plataforma de identidade da Microsoft para gerar um código de dispositivo ativo. O código é exibido na tela do usuário junto com um botão que o redireciona para o portal oficial de login. O script do agente da ameaça pode copiar automaticamente o código do dispositivo gerado para a área de transferência, que o usuário cola na página de login oficial.
Se não houver nenhuma sessão ativa, o usuário será solicitado a fornecer credenciais e concluir a autenticação multifator. Se uma sessão já estiver ativa, colar o código e confirmar a solicitação autenticará a sessão do agente da ameaça em segundo plano. Após a abertura do URL de login legítimo, o script entra em um estado de pesquisa para monitorar o processo de autenticação em tempo real. Ele verifica repetidamente se o usuário concluiu a autenticação.
Assim que o login apoiado por MFA for concluído, a próxima pesquisa retornará um status de sucesso e o agente da ameaça obterá um token de acesso válido associado à conta do usuário. Atividade pós-comprometimento "O estágio final varia dependendo dos objetivos específicos do agente da ameaça. Em alguns casos, dentro de 10 minutos após a violação, os novos dispositivos do agente da ameaça r egistraram novos dispositivos para gerar um token de atualização primário (PRT) para persistência de longo prazo. Em outros cenários, eles esperaram várias horas antes de criar regras de caixa de entrada maliciosas ou exfiltrar dados de e-mail confidenciais para evitar a detecção imediata", explicou a equipe de pesquisa de segurança do Microsoft Defender.
Após o comprometimento, a atividade progride para o registro do dispositivo e reconhecimento do Microsoft Graph, incluindo a filtragem de usuários comprometidos e a seleção de alvos.