Uma nova campanha de phishing sofisticada está explorando o fluxo de autorização de dispositivo do OAuth 2.0 para contornar verificações tradicionais de segurança, utilizando domínios legítimos da Microsoft para enganar usuários corporativos. A técnica, identificada pela Kaspersky, representa uma evolução significativa nas táticas de engenharia social, onde a confiança no domínio oficial é usada como vetor de ataque em vez de um indicador de segurança.
como o fluxo de autorização funciona
O fluxo de autorização de dispositivo, também conhecido como Device Authorization Grant, foi projetado para simplificar a autenticação em dispositivos com capacidade limitada de entrada, como smart TVs, consoles de jogos e equipamentos IoT. O processo envolve a solicitação de um código de dispositivo por um aplicativo, a exibição desse código ao usuário e a autorização via um segundo dispositivo, como um smartphone. O usuário insere o código em uma página de verificação oficial, e o servidor emite tokens de acesso e atualização.
Embora conveniente para a experiência do usuário, esse mecanismo introduz uma superfície de ataque crítica. Os atacantes podem iniciar o fluxo em seus próprios servidores maliciosos e instruir a vítima a inserir o código em uma página que parece legítima, mas que na verdade é controlada pelo criminoso. A vítima, ao completar o processo na página oficial da Microsoft, acredita estar autenticando-se corretamente, mas na verdade está concedendo acesso a uma aplicação maliciosa.
análise do ataque
A campanha observada começou em abril de 2026 e evoluiu para alvos específicos, incluindo usuários no Brasil. O vetor inicial de infecção variou entre e-mails com anexos PDF protegidos por senha e links que redirecionavam para plataformas legítimas, como o Cacoo.com, antes de levar o usuário à página de phishing.
Uma vez que a vítima clica no link, ela é direcionada a uma página que solicita a cópia de um código de um único uso. Ao clicar no código, ele é copiado para a área de transferência e o usuário é redirecionado para a página oficial de autenticação da Microsoft. Ao inserir o código, o fluxo de autorização é completado, e os atacantes obtêm tokens de acesso, tokens de atualização e tokens de identidade. Esses tokens permitem acesso persistente à conta, incluindo leitura de e-mails, arquivos no OneDrive e conversas no Teams.
implicações para o mercado brasileiro
A adaptação da campanha para o público brasileiro é um sinal de alerta para as organizações locais. Os e-mails de phishing foram adaptados para o português, utilizando contextos locais como confirmação de pedidos e orçamentos comerciais. Isso aumenta a taxa de sucesso da engenharia social, pois os usuários tendem a confiar mais em comunicações que parecem relevantes para seu contexto imediato.
Além disso, o uso de redirecionamentos em domínios legítimos, como o Cacoo.com, dificulta a detecção por soluções de segurança baseadas apenas em reputação de domínio. As equipes de SOC devem monitorar não apenas os domínios maliciosos, mas também o comportamento de redirecionamento em domínios confiáveis.
medidas de mitigação recomendadas
Para defender-se contra ataques de phishing com device code, as organizações devem adotar as seguintes medidas:
- Desabilitar o fluxo de autorização de dispositivo no Microsoft Entra ID, se não for estritamente necessário para operações de negócios.
- Implementar políticas de acesso condicional que exijam autenticação multifator robusta para todos os acessos de dispositivo.
- Monitorar eventos de
DeviceCodeSignIne configurar alertas para sign-ins anômalos, especialmente aqueles originados de locais incomuns. - Educar os usuários para nunca inserir códigos de autorização recebidos via e-mail ou mensagem, mesmo que o link pareça oficial.
- Verificar sempre a URL final após qualquer redirecionamento, inspecionando parâmetros como
redirect_urioureturn_url.
conclusão
Este ataque destaca a necessidade de uma postura de segurança que vá além da verificação de domínio. A confiança em ferramentas legítimas deve ser balanceada com a verificação de intenção e contexto. Para CISOs, a avaliação da necessidade de fluxos de autenticação alternativos e o monitoramento proativo de eventos de token são essenciais para mitigar riscos de comprometimento de conta.