O que Mudou Agora
Analistas da ANY.RUN identificaram um aumento acentuado em campanhas de phishing que exploram o fluxo de autorização de dispositivo OAuth da Microsoft. Mais de 180 URLs maliciosas foram detectadas em uma única semana, indicando uma campanha ativa e coordenada.
Diferente do phishing tradicional, essa técnica não requer o roubo de senhas. Em vez disso, os atacantes utilizam o fluxo de autorização de dispositivo OAuth para obter tokens de acesso e refresh, permitindo o sequestro de contas Microsoft 365 sem que o usuário perceba.
Vetor e Exploração
O ataque começa quando o ator malicioso inicia uma solicitação de autorização de dispositivo Microsoft, gerando um código de usuário e um código de dispositivo. A vítima é direcionada a uma página de phishing que imita notificações de documentos (como DocuSign) e instruída a copiar o código e inseri-lo em microsoft.com/devicelogin.
Como o destino é um domínio legítimo da Microsoft, a vítima não vê sinais de alerta e frequentemente completa a autenticação multifator (MFA) normalmente. Ao inserir o código, a vítima autoriza inadvertidamente uma sessão de login iniciada pelo atacante, que recebe tokens OAuth válidos.
Impacto e Alcance
Este modelo de ataque representa uma mudança estrutural que mina a lógica de detecção tradicional. O comprometimento ocorre inteiramente sobre a infraestrutura legítima da Microsoft, canais HTTPS criptografados e páginas de autenticação reais, nenhum dos quais aciona filtros de phishing ou alertas de reputação de domínio.
Para as equipes de SOC, as consequências operacionais são significativas: detecção atrasada, investigações mais longas e impacto maior no incidente, pois os atacantes podem acessar e-mails, documentos e recursos compartilhados imediatamente após a emissão do token.
Indicadores de Comprometimento (IOCs)
Dominios de Cloudflare Workers identificados como infraestrutura de phishing incluem variações como singer-bodners-bau-at-s-account.workers.dev e dibafef289.workers.dev. A análise de tráfego SSL descriptografado expõe chamadas de API específicas, como /api/device/start, que podem ser usadas para detecção em ferramentas de SOC existentes.