Campanha AiTM ativa que contorna MFA mira Microsoft 365 e usuários Okta
Descoberta e escopo / O que mudou agora
Analistas do Datadog Security Labs documentaram uma campanha de phishing AiTM (Adversary-in-the-Middle) ativa que intercepta fluxos de Single Sign-On de Microsoft 365 e Okta para capturar credenciais e tokens de sessão antes que o MFA faça bloqueio efetivo. A campanha foi observada em desenvolvimento desde início de dezembro de 2025 e permanece ativa conforme o relatório técnico.
Vetor e exploração / Mitigações
O ataque opera em duas fases e usa técnicas modernas de proxying e injeção JavaScript:
- fase 1 — emails de phishing enviados a partir de mailboxes comprometidas associadas ao Salesforce Marketing Cloud com iscas relacionadas a RH (revisões salariais/bonificações) e links encurtados que redirecionam para domínios de primeira etapa hospedados na infraestrutura Cloudflare;
- fase 2 — domínios lookalike (ex.: sso.okta-secure.io, sso.okta-cloud.com, sso.okta-access.com) hospedam páginas que proxyam páginas legítimas de Okta/Microsoft, mas injetam um arquivo inject.js que monitora e exfiltra cookies críticos e dados de formulário.
O código malicioso descrito monitora cookies considerados sensíveis para manter sessões (idx, JSESSIONID, proximity_, DT e sid). A cada segundo o script verifica novos ou modificados cookies e envia os valores para o endpoint /log_cookie do servidor de comando dos atacantes, permitindo que estes recreiem a sessão no navegador deles sem necessidade de contornar o MFA tradicional.
Para fluxos envolvendo Microsoft 365 com Okta como Identity Provider, os atacantes monitoram o campo FederationRedirectUrl nas respostas de autenticação da Microsoft e reescrevem dinamicamente o redirecionamento para apontar ao domínio de segunda etapa do atacante, que então proxia todo o tráfego ao tenant Okta legítimo e captura os tokens de sessão durante o processo.
Impacto e alcance / Setores afetados
O relatório indica que “centenas de usuários” em múltiplas organizações receberam os emails nas últimas semanas, e a campanha continua ativa. O impacto é elevado em ambientes corporativos que usam SSO centralizado (Microsoft 365/Okta) e dependem de fatores de autenticação suscetíveis a sequestro de sessão. Ao contrário de ataques que exigem bypass técnico do fator, aqui os invasores reutilizam sessões ou tokens roubados, efetivamente pulando o bloqueio do MFA.
Limites das informações / O que falta saber
O relatório público não fornece contagem precisa de vítimas confirmadas nem atribuição de ameaça a um ator específico. Também não há detalhamento sobre quantos tenants Okta ou instâncias Microsoft 365 foram comprometidos com sucesso — apenas a observação de “centenas de usuários” como alvo e a confirmação de domínios lookalike e infraestrutura de exfiltração.
Recomendações operacionais
- monitorar logs Okta por eventos auth_via_mfa com origens de requisição inconsistentes, em especial provenientes de faixas de IP da Cloudflare;
- impor MFA resistente a phishing, como FIDO2/security keys, que não pode ser replicado por proxies web maliciosos;
- filtrar e bloquear domínios lookalike conhecidos e inspecionar URLs encurtados em comunicações internas sensíveis;
- habilitar políticas de sessão curtas e verificar binding de sessão ao dispositivo (device binding) para reduzir a janela de replay de tokens; e
- executar campanhas de conscientização com foco em iscas de RH e comunicação vinda de provedores de marketing por email que possam ter contas comprometidas.
Repercussão / Próximos passos
Organizações que usam Okta e Microsoft 365 devem priorizar auditoria de logs e revisões de políticas de sessão. A adoção de mecanismos de autenticação phishing-resistant e a detecção de origens de requisição inconsistentes são medidas imediatas que podem limitar o sucesso de campanhas AiTM. Datadog fornece diagnóstico técnico que equipes de SOC/IR podem aplicar para detectar indicadores de comprometimento descritos no relatório.
Fonte
Datadog Security Labs via Cyber Security News — investigação técnica da campanha AiTM contra Microsoft 365/Okta.