Uma onda crescente de ataques de phishing direcionados está colocando usuários do Microsoft em sério risco, e a ferramenta por trás disso é mais sofisticada do que a maioria das pessoas percebe. Pesquisadores de segurança documentaram como o Evilginx, um framework de adversário-no-meio, está sendo usado para interceptar silenciosamente sessões de login do Microsoft, roubando nomes de usuário, senhas, tokens MFA e cookies de sessão autenticados de uma só vez.
O que mudou agora
O que torna essa ameaça especialmente alarmante é que mesmo usuários que seguem as melhores práticas e habilitam a autenticação multifator (MFA) não estão totalmente protegidos contra ela. A maioria das pessoas acredita que ligar o MFA é suficiente para manter suas contas seguras. Essa suposição está sendo posta à prova de uma maneira muito real.
O Evilginx funciona colocando-se entre o usuário e a página de login real do Microsoft, atuando como um relé transparente que a vítima nunca suspeita. Cada peça de dados trocada durante o processo de login, incluindo a aprovação do MFA, passa direto pelo servidor do atacante antes de chegar ao seu destino.
Evidências e limites
Analistas da NetSPI documentaram um engajamento do mundo real onde essa técnica foi colocada em prática contra uma equipe executiva corporativa. A NetSPI disse em um relatório que pesquisadores registraram um domínio semelhante e apontaram um servidor Evilginx diretamente para o fluxo de login ao vivo do cliente. O ataque foi cuidadosamente envolto em um cenário de engenharia social, tornando ainda mais difícil para os alvos detectar que algo estava errado.
O resultado foi uma demonstração clara de como essa combinação pode ser perigosa. Uma vez que um alvo clicou no link de phishing e completou seu login do Microsoft, incluindo a aprovação do prompt MFA, o Evilginx já havia capturado o cookie de sessão autenticado. Com esse cookie em mãos, um atacante pode reproduzir a sessão de qualquer dispositivo, em qualquer lugar do mundo, sem precisar da senha ou código MFA da vítima novamente.
Impacto e alcance
O que aconteceu a seguir no caso da NetSPI surpreendeu até os próprios pesquisadores. Um executivo, acreditando que estava gerenciando uma crise potencial da empresa, encaminhou o link de phishing para duas empresas contratantes externas. Em um único movimento não intencional, um ataque direcionado contra uma organização estava prestes a se tornar uma violação multiempresa. A sessão foi encerrada imediatamente para evitar capturas de credenciais fora do escopo, mas a lição era impossível de ignorar.
O Evilginx é construído em cima do servidor web nginx amplamente utilizado e é projetado para proxyar o tráfego web através de sites falsos controlados por atacantes em tempo real. Quando uma vítima visita uma URL de phishing, ela vê uma réplica exata da página de login real do Microsoft, porque na verdade é a página real sendo espelhada ao vivo.
Medidas de mitigação recomendadas
Defender-se contra ataques do estilo Evilginx requer uma abordagem em camadas que vai muito além do MFA padrão. A NetSPI e outros pesquisadores recomendam implantar autenticação resistente a phishing, como chaves de hardware FIDO2 ou chaves de acesso (passkeys), que usam vinculação de domínio para bloquear a interceptação baseada em proxy inteiramente.
Essas são atualmente os únicos tipos de MFA que podem parar um ataque AiTM na própria etapa de autenticação. As organizações também devem habilitar a Proteção de Token no Microsoft Entra ID Conditional Access, que vincula tokens de sessão ao dispositivo específico em que foram originalmente emitidos, tornando os cookies roubados inúteis quando reproduzidos de uma máquina diferente.
Implicações para governança de segurança
Equipes de segurança devem monitorar logs de login para tokens sendo usados de novos endereços IP ou locais que diferem de onde foram emitidos pela primeira vez. Estabelecer políticas claras sobre como os funcionários lidam com comunicações externas não solicitadas, especialmente qualquer coisa que os direcione para páginas de login internas, também é um passo crítico para reduzir a exposição.
Perguntas frequentes
- O MFA protege contra Evilginx? MFA tradicional não protege contra AiTM, pois o token é capturado durante o login.
- Qual a melhor defesa? Chaves de hardware FIDO2 ou passkeys com vinculação de domínio.
- Como detectar? Monitorar logs de login para tokens usados de locais ou IPs incomuns.
- Qual o impacto? Acesso total à conta sem necessidade de senha ou MFA adicional.