Dois ataques significativos de março de 2026, um abusando do fluxo de autenticação OAuth da Microsoft para sequestrar silenciosamente contas empresariais e outro implantando o infostealer AMOS contra usuários de macOS que trabalham com ferramentas de desenvolvimento de IA como o Claude Code, representam uma evolução preocupante nas táticas de ameaças. A campanha EvilTokens representa uma evolução significativa nas táticas de phishing porque contorna completamente a necessidade de roubar senhas.
Evolução das táticas de phishing e OAuth
Em vez de clonar uma página de login falsa, os atacantes abusam do fluxo de código de dispositivo OAuth 2.0 da Microsoft, um método de autenticação legítimo originalmente projetado para dispositivos com entrada limitada como smart TVs, para enganar as vítimas em autorizar sessões dos atacantes através da própria infraestrutura da Microsoft. O ataque é enganadoramente simples. As vítimas recebem e-mails de phishing direcionando-as a inserir um código de verificação de dispositivo em microsoft[.]com/devicelogin, uma página real da Microsoft.
Após o usuário completar o login e satisfazer a autenticação multifator (MFA), a Microsoft emite tokens de acesso e atualização do OAuth diretamente para o atacante, tornando as proteções de MFA inteiramente ineficazes. A vítima nunca submete credenciais a um site falso, tornando a maioria dos métodos tradicionais de detecção de phishing inúteis. Analistas da ANY.RUN detectaram mais de 180 URLs de phishing em uma única semana associadas à atividade EvilTokens, com foco concentrado nos setores de Tecnologia, Educação, Manufatura e Governo, particularmente nos Estados Unidos e Índia.
Operação Phishing-as-a-Service (PhaaS)
A escala e velocidade da campanha são agravadas pelo EvilTokens operando como uma plataforma Phishing-as-a-Service (PhaaS), vendida através do Telegram com automação integrada, colheita de e-mails, capacidades de reconhecimento e recursos impulsionados por IA. Em cenários avançados de pós-comprometimento, os atacantes podem aproveitar tokens de atualização colhidos para registrar um dispositivo adicional no Microsoft Entra ID e, em seguida, solicitar silenciosamente um Token de Refrescamento Primário (PRT), fornecendo acesso persistente e que contorna a MFA à amplitude total dos aplicativos Microsoft 365 de uma organização.
Indicadores de rede para caça a ameaças
Para identificar e mitigar a campanha EvilTokens, as equipes de segurança devem procurar os seguintes indicadores de rede:
/api/device/starte/api/device/status/*em solicitações HTTP para hosts não-Microsoft- Presença do cabeçalho
X-Antibot-Tokenem tráfego de autenticação suspeito - Dominios incluindo
singer-bodners-bau-at-s-account[.]workers[.]devedibafef289[.]workers[.]dev
Campanha ClickFix e AMOS Stealer em macOS
Em uma campanha paralela que visa ambientes macOS, os atores de ameaça implantaram uma cadeia de ataque ClickFix sofisticada contra desenvolvedores que usam ferramentas de IA. Os atacantes compraram anúncios no Google Ads para redirecionar vítimas que pesquisam por Claude Code, Grok, n8n, NotebookLM, Gemini CLI e Cursor para páginas de documentação falsas convincentes que instruem os usuários a executar um comando de terminal — uma marca registrada da técnica de engenharia social ClickFix.
Uma vez que o comando de terminal ofuscado é executado, a cadeia de infecção passa por múltiplas etapas: redirecionamento do Google Ads para uma página de documentação falsa do Claude Code, isca ClickFix instruindo o usuário a colar e executar um comando de terminal, script codificado baixado e executado em segundo plano, infostealer AMOS que colhe credenciais do navegador, senhas salvas, conteúdos do Keychain do macOS e arquivos sensíveis, e implantação de backdoor via módulo ~/.mainhelper que estabelece um shell reverso persistente sobre WebSocket com suporte PTY completo.
Evolução do backdoor ~/.mainhelper
A evolução do módulo de backdoor ~/.mainhelper é particularmente alarmante. Anteriormente descrito como um implante limitado, a variante atualizada agora suporta um shell reverso totalmente interativo, dando aos atacantes acesso real e mãos-livres ao sistema infectado muito tempo após a infecção inicial. Para ambientes corporativos, isso é catastrófico, pois os endpoints macOS frequentemente pertencem a desenvolvedores que detêm acesso privilegiado a repositórios internos, infraestrutura em nuvem e credenciais críticas para o negócio.
Medidas de mitigação recomendadas
Para a ameaça EvilTokens, as organizações devem auditar os logs de autenticação do Microsoft Entra ID para fluxos de autenticação de código de dispositivo originados de dispositivos ou locais não familiares, implementar políticas de Acesso Condicional restringindo o tipo de concessão de Código de Dispositivo e rotacionar regularmente tokens OAuth para contas de alto privilégio.
Para a campanha ClickFix/AMOS macOS, os defensores devem bloquear a execução de scripts não assinados a partir de prompts de terminal via política MDM, monitorar conexões WebSocket de saída de endpoints de desenvolvedores e implantar detecção de endpoint ajustada aos mecanismos de persistência ~/.mainhelper e padrões comportamentais do AMOS, incluindo acesso ao Keychain e leituras em massa de arquivos de credenciais.
Implicações para desenvolvedores e DevSecOps
A natureza multiestágio do ataque ofusca scripts, payloads codificados e o abuso de componentes nativos do macOS, fragmentando deliberadamente o comprometimento em sinais fracos e isolados que podem atrasar a triagem e escalonamento da equipe de segurança. Isso destaca a necessidade de integrar verificações de segurança no fluxo de trabalho de desenvolvimento, especialmente quando se trata de ferramentas de IA e automação.
Os desenvolvedores devem ser treinados para reconhecer sinais de engenharia social, como comandos de terminal inesperados e páginas de documentação falsas. Além disso, a implementação de políticas de execução de código restritivas em ambientes de desenvolvimento pode mitigar o risco de execução não autorizada de scripts maliciosos.
Comparação com ataques anteriores
Esta campanha difere de ataques de phishing tradicionais por não depender de credenciais roubadas, mas sim de tokens de sessão válidos. Isso representa uma mudança fundamental na defesa, onde a confiança na MFA e na autenticação baseada em senha deve ser reavaliada em favor de verificações de contexto e comportamento.
A evolução do AMOS Stealer para suportar shells reversos interativos também o coloca em uma categoria mais perigosa do que os stealers de credenciais tradicionais, permitindo aos atacantes controle total sobre o sistema infectado e facilitando a exfiltração de dados sensíveis e a movimentação lateral.
O que os CISOs devem fazer agora
1. Auditoria de autenticação: Revise os logs de autenticação do Microsoft Entra ID para identificar fluxos de código de dispositivo incomuns.
2. Políticas de execução: Implemente políticas MDM para bloquear a execução de scripts não assinados em endpoints macOS.
3. Monitoramento de rede: Monitore conexões de saída de endpoints de desenvolvedores para detectar tráfego WebSocket suspeito.
4. Treinamento de conscientização: Eduque desenvolvedores sobre táticas de engenharia social, incluindo ClickFix e phishing de OAuth.
Perguntas frequentes
O que é a campanha EvilTokens?
É uma campanha de phishing que abusa do fluxo de autenticação OAuth da Microsoft para sequestrar contas sem roubar senhas.
Como o AMOS Stealer funciona?
Ele colhe credenciais e arquivos sensíveis de macOS e implanta um backdoor persistente via módulo ~/.mainhelper.
Como proteger contra ClickFix?
Bloqueie a execução de scripts não assinados e monitore comandos de terminal suspeitos em endpoints de desenvolvedores.
Qual é o impacto para empresas?
O comprometimento de desenvolvedores pode levar ao acesso a repositórios internos e infraestrutura crítica.