Hack Alerta

phishing com device code flow explora site legítimo da Microsoft para roubar credenciais

Campanha de phishing explora fluxo de autorização de dispositivo da Microsoft para roubar credenciais, com foco em usuários brasileiros e uso de redirecionamentos em domínios legítimos.

Uma nova campanha de phishing sofisticada está explorando o fluxo de autorização de dispositivo do OAuth 2.0 para contornar verificações tradicionais de segurança, utilizando domínios legítimos da Microsoft para enganar usuários corporativos. A técnica, identificada pela Kaspersky, representa uma evolução significativa nas táticas de engenharia social, onde a confiança no domínio oficial é usada como vetor de ataque em vez de um indicador de segurança.

como o fluxo de autorização funciona

O fluxo de autorização de dispositivo, também conhecido como Device Authorization Grant, foi projetado para simplificar a autenticação em dispositivos com capacidade limitada de entrada, como smart TVs, consoles de jogos e equipamentos IoT. O processo envolve a solicitação de um código de dispositivo por um aplicativo, a exibição desse código ao usuário e a autorização via um segundo dispositivo, como um smartphone. O usuário insere o código em uma página de verificação oficial, e o servidor emite tokens de acesso e atualização.

Embora conveniente para a experiência do usuário, esse mecanismo introduz uma superfície de ataque crítica. Os atacantes podem iniciar o fluxo em seus próprios servidores maliciosos e instruir a vítima a inserir o código em uma página que parece legítima, mas que na verdade é controlada pelo criminoso. A vítima, ao completar o processo na página oficial da Microsoft, acredita estar autenticando-se corretamente, mas na verdade está concedendo acesso a uma aplicação maliciosa.

análise do ataque

A campanha observada começou em abril de 2026 e evoluiu para alvos específicos, incluindo usuários no Brasil. O vetor inicial de infecção variou entre e-mails com anexos PDF protegidos por senha e links que redirecionavam para plataformas legítimas, como o Cacoo.com, antes de levar o usuário à página de phishing.

Uma vez que a vítima clica no link, ela é direcionada a uma página que solicita a cópia de um código de um único uso. Ao clicar no código, ele é copiado para a área de transferência e o usuário é redirecionado para a página oficial de autenticação da Microsoft. Ao inserir o código, o fluxo de autorização é completado, e os atacantes obtêm tokens de acesso, tokens de atualização e tokens de identidade. Esses tokens permitem acesso persistente à conta, incluindo leitura de e-mails, arquivos no OneDrive e conversas no Teams.

implicações para o mercado brasileiro

A adaptação da campanha para o público brasileiro é um sinal de alerta para as organizações locais. Os e-mails de phishing foram adaptados para o português, utilizando contextos locais como confirmação de pedidos e orçamentos comerciais. Isso aumenta a taxa de sucesso da engenharia social, pois os usuários tendem a confiar mais em comunicações que parecem relevantes para seu contexto imediato.

Além disso, o uso de redirecionamentos em domínios legítimos, como o Cacoo.com, dificulta a detecção por soluções de segurança baseadas apenas em reputação de domínio. As equipes de SOC devem monitorar não apenas os domínios maliciosos, mas também o comportamento de redirecionamento em domínios confiáveis.

medidas de mitigação recomendadas

Para defender-se contra ataques de phishing com device code, as organizações devem adotar as seguintes medidas:

  • Desabilitar o fluxo de autorização de dispositivo no Microsoft Entra ID, se não for estritamente necessário para operações de negócios.
  • Implementar políticas de acesso condicional que exijam autenticação multifator robusta para todos os acessos de dispositivo.
  • Monitorar eventos de DeviceCodeSignIn e configurar alertas para sign-ins anômalos, especialmente aqueles originados de locais incomuns.
  • Educar os usuários para nunca inserir códigos de autorização recebidos via e-mail ou mensagem, mesmo que o link pareça oficial.
  • Verificar sempre a URL final após qualquer redirecionamento, inspecionando parâmetros como redirect_uri ou return_url.

conclusão

Este ataque destaca a necessidade de uma postura de segurança que vá além da verificação de domínio. A confiança em ferramentas legítimas deve ser balanceada com a verificação de intenção e contexto. Para CISOs, a avaliação da necessidade de fluxos de autenticação alternativos e o monitoramento proativo de eventos de token são essenciais para mitigar riscos de comprometimento de conta.


Baseado em publicação original de Kaspersky Securelist
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.