Fri, 10 Apr 2026
← VoltarStorm-2755 rouba pagamentos de salários de funcionários canadenses usando ataques AiTM no Microsoft 365. Os invasores contornam o MFA sequestrando tokens de autenticação por meio de páginas de login falsas.
Um ator de ameaça com motivação financeira rastreado como Storm-2755 está roubando pagamentos de salários de funcionários canadenses após sequestrar suas contas em ataques piratas de folha de pagamento. Os invasores usaram páginas de login maliciosas do Microsoft 365 para roubar tokens de autenticação e cookies de sessão das vítimas, redirecionando-as para domínios (por exemplo, bluegraintours[.]com) que hospedavam páginas da Web maliciosas (colocadas no topo dos resultados de mecanismos de pesquisa por meio de malvertising ou envenenamento de SEO) que se disfarçavam de formulários de login do Microsoft 365. Isso permitiu que o Storm-2755 contornasse a autenticação multifator (MFA) em ataques de adversário intermediário (AiTM), reproduzindo tokens de sessão roubados em vez de autenticar novamente. “Em vez de coletar apenas nomes de usuário e senhas, as estruturas AiTM fazem proxy de todo o fluxo de autenticação em tempo real, permitindo a captura de cookies de sessão e tokens de acesso OAuth emitidos após autenticação bem-sucedida”, explicou a Microsoft.
“Devido a esses tokens representarem uma sessão totalmente autenticada, os agentes de ameaças podem reutilizá-los para obter acesso aos serviços da Microsoft sem serem solicitados a fornecer credenciais ou MFA, contornando efetivamente as proteções legadas de MFA não projetadas para serem resistentes a phishing”. Fluxo de ataque Storm-2755 (Microsoft) Após obter acesso à conta de um funcionário, o invasor criou regras de caixa de entrada que moviam automaticamente mensagens da equipe de recursos humanos contendo as palavras “depósito direto” ou “banco” para pastas ocultas, evitando que a vítima visse a correspondência. Na etapa seguinte, eles pesquisaram “folha de pagamento”, “RH”, “depósito direto” e “finanças” e, em seguida, enviaram e-mails à equipe de recursos humanos com o assunto “Pergunta sobre depósito direto” para induzir a equipe a atualizar as informações bancárias. Onde a engenharia social falhou, o invasor fez login diretamente em plataformas de software de RH, como o Workday, usando a sessão roubada para atualizar manualmente os detalhes do depósito direto.
Storm-2755 enviando e-mail para a equipe de RH (Microsoft) Para fortalecer as defesas contra AiTM e ataques de pirataria de folha de pagamento, a Microsoft aconselha os defensores a bloquear protocolos de autenticação legados e implementar MFA resistente a phishing. Se forem detectados quaisquer sinais de comprometimento, eles também deverão revogar imediatamente os tokens e sessões comprometidos, remover regras de caixa de entrada maliciosas e redefinir métodos e credenciais de MFA para todas as contas afetadas. Em outubro, a Microsoft interrompeu outra campanha pirata de folha de pagamento visando contas do Workday desde março de 2025, na qual uma gangue de crimes cibernéticos rastreada como Storm-2657 tinha como alvo funcionários universitários nos Estados Unidos para sequestrar seus pagamentos de salários. Nesses ataques, o Storm-2657 violou as contas dos alvos por meio de e-mails de phishing e roubou códigos MFA usando táticas AITM, o que permitiu que os atores da ameaça comprometessem as contas do Exchange Online das vítimas.
Os ataques de pirataria de folha de pagamento são uma variante dos golpes de comprometimento de e-mail comercial (BEC) que visam empresas e indivíduos que fazem transferências eletrônicas regularmente. No ano passado, o Centro de Reclamações sobre Crimes na Internet (IC3) do FBI registou mais de 24.000 queixas de fraude BEC, resultando em perdas superiores a 3 mil milhões de dólares, tornando-o o segundo tipo de crime mais lucrativo, atrás apenas de fraudes de investimento.