Descoberta e escopo da campanha
Criminosos cibernéticos por trás do kit de phishing Tycoon 2FA adicionaram uma nova arma poderosa ao seu jogo. Ao combinar sua infraestrutura de phishing bem conhecida com o abuso do OAuth Device Code, eles agora podem roubar acesso às contas do Microsoft 365 sem nunca capturar uma única senha.
O kit de phishing Tycoon 2FA ganhou atenção como uma plataforma Phishing-as-a-Service (PhaaS). Ao longo do último ano, os operadores continuaram evoluindo seus métodos e refinando suas cadeias de entrega para ficar à frente das ferramentas de detecção e listas de bloqueio de fornecedores. Mesmo após uma grande interrupção em março de 2026, o grupo não diminuiu o ritmo.
Analistas da eSentire disseram que a campanha foi identificada no final de abril de 2026 pela Unidade de Resposta a Ameaças (TRU). A equipe da eSentire descobriu que os operadores do Tycoon 2FA mantiveram seu kit principal quase intacto após o desmantelamento da coalizão de março de 2026 liderado pela Microsoft e Europol.
Abuso do fluxo OAuth Device Code
No centro desta campanha está um abuso inteligente da Autorização OAuth 2.0 Device Grant, um protocolo legítimo construído para dispositivos como smart TVs que não podem lidar facilmente com fluxos de login tradicionais. Em um ataque, as vítimas são mostradas um isco de notificação de correio de voz do Microsoft 365.
Eles são instruídos a copiar um código de usuário e visitar a página real de login de dispositivo da Microsoft em microsoft.com/devicelogin. Como a vítima está interagindo com a infraestrutura genuína da Microsoft, a MFA é acionada e concluída normalmente. O que a vítima não percebe é que, ao aprovar o prompt, ela está concedendo tokens de acesso a um dispositivo controlado pelo atacante.
O phishing não burla a MFA, mas muda o que a MFA está autorizando. A análise pós-compromisso dos logs de login do Entra revelou que a atividade do operador veio de ferramentas de automação Node.js usando as strings de user-agent "node" e "undici".
Indicadores de comprometimento e mitigação
A infraestrutura do operador também mudou para a Alibaba Cloud, especificamente AS45102, como parte de uma rotação de hospedagem mais ampla. A eSentire recomenda que as organizações implementem políticas de Acesso Condicional do Microsoft Entra para bloquear fluxos de OAuth Device Code para usuários finais regulares.
Administradores também devem restringir o consentimento do usuário para aplicativos OAuth e exigir aprovação de administrador para todo o acesso de aplicativos de terceiros. Habilitar a Avaliação de Acesso Contínuo garante que a revogação do token se propague rapidamente após qualquer incidente confirmado.
Equipes devem caçar as consultas KQL e padrões URLscan publicados pela eSentire para identificar atividade relacionada em seus ambientes. O uso de user-agents "node" e "undici" contra o AppId do Microsoft Authentication Broker deve ser tratado como um sinal vermelho imediato.
Perguntas frequentes
Isso burla a MFA?
Não exatamente. O ataque não burla a MFA, mas muda o que a MFA está autorizando, concedendo tokens a um dispositivo malicioso em vez de ao usuário legítimo.
Como proteger a organização?
Implemente políticas de Acesso Condicional para bloquear fluxos de OAuth Device Code para usuários finais e restrinja o consentimento de aplicativos OAuth de terceiros.