Um grupo de ameaças motivado financeiramente, identificado como Storm-2755, lançou uma campanha sofisticada que redireciona silenciosamente os pagamentos de salários de funcionários para contas bancárias controladas por atacantes. O alvo principal são trabalhadores canadenses, e o grupo utiliza técnicas de adversário no meio (AiTM) para sequestrar sessões autenticadas e contornar a autenticação multifator (MFA), em ataques que pesquisadores rotularam como de "piratas de folha de pagamento".
Como a campanha de SEO poisoning funciona
A campanha inicia-se com envenenamento de mecanismos de busca (SEO poisoning) e malvertising. O Storm-2755 impulsiona um domínio malicioso, bluegraintours[.]com, para o topo dos resultados de busca para consultas como "Office 365" ou a grafia comum errada "Office 265". Funcionários que clicam nesses links são direcionados para uma página de login falsa do Microsoft 365 convincente. No momento em que digitam suas credenciais, os atacantes capturam tanto a senha quanto o token de sessão em tempo real, obtendo acesso total à conta sem acionar nenhum prompt de MFA.
Alvos e alcance da campanha
Investigadores da Microsoft identificaram essa ameaça emergente e notaram algo incomum sobre seu direcionamento. Ao contrário da maioria dos grupos de ameaças que focam em indústrias específicas, o Storm-2755 atinge amplamente funcionários canadenses em todos os setores, usando termos de busca agnósticos à indústria para lançar uma rede ampla. Essa abordagem torna a campanha mais difícil de detectar através de inteligência de ameaças específica de vertical.
Manipulação de dados de RH e plataformas SaaS
Uma vez dentro de uma conta comprometida, o Storm-2755 procura silenciosamente caixas de entrada por palavras-chave relacionadas a folha de pagamento e RH. O grupo então envia e-mails da própria caixa de entrada da vítima para a equipe de RH, solicitando alterações de depósito direto — uma manobra de engenharia social que parece completamente rotineira para o destinatário. Quando a manipulação de e-mail não é suficiente, os atacantes fazem login manualmente em plataformas de RH como o Workday usando a sessão roubada e atualizam os detalhes bancários diretamente, fazendo com que os pagamentos de salário fluam para uma conta controlada pelo atacante.
Detalhes técnicos da cadeia de ataque AiTM
O que separa o Storm-2755 de grupos de phishing mais antigos é a profundidade técnica de seu método AiTM. Em vez de simplesmente roubar senhas, os ataques AiTM fazem proxy do fluxo completo de autenticação entre a vítima e o serviço de login real da Microsoft. Quando a vítima faz login, o atacante intercepta tanto o cookie de sessão quanto o token de acesso OAuth. Como esses representam uma sessão totalmente autenticada, eles podem ser reutilizados para acessar serviços da Microsoft sem qualquer verificação de credencial ou desafio de MFA adicional.
O Storm-2755 usa a versão 1.7.9 do cliente HTTP Axios para retransmitir tokens capturados para sua própria infraestrutura. Os logs de login mostram que o Axios fez logins não interativos ao OfficeHome a cada aproximadamente 30 minutos, mantendo as sessões ativas sem detecção óbvia. Uma vulnerabilidade conhecida nesta biblioteca, CVE-2025-27152, pode levar a riscos de falsificação de solicitação de servidor (SSRF), que o grupo parece explorar dentro desse fluxo de retransmissão.
Medidas de mitigação recomendadas
As organizações são fortemente aconselhadas a revogar tokens comprometidos imediatamente, remover regras de caixa de entrada maliciosas e redefinir credenciais e métodos de MFA para qualquer conta afetada. A MFA resistente a phishing — como chaves de segurança FIDO2 — deve ser implementada sempre que possível, pois são projetadas especificamente para bloquear o roubo de tokens estilo AiTM. Políticas de Acesso Condicional devem ser configuradas para limitar a duração das sessões e exigir reautenticação quando os sinais de risco mudarem. A Avaliação de Acesso Contínuo (CAE) deve ser ativada para que tokens roubados percam seu valor rapidamente após a detecção de uma condição de risco.
As equipes de segurança também devem configurar alertas para criação suspeita de regras de caixa de entrada e auditar regularmente plataformas SaaS de RH, como o Workday, para quaisquer alterações não autorizadas em informações bancárias ou de pagamento.
O que os CISOs devem fazer agora
1. Revisar logs de login do Microsoft 365 em busca de atividades não interativas ou logins de sessões renovadas em horários incomuns (como 5:00 da manhã). 2. Auditar regras de caixa de entrada criadas recentemente para identificar redirecionamentos ou exclusões de e-mails de RH. 3. Implementar ou reforçar políticas de MFA FIDO2 para contas com acesso a sistemas financeiros ou de RH. 4. Monitorar plataformas de RH (Workday, ADP, etc.) para alterações de dados bancários não autorizadas.