Descoberta e escopo
Em fevereiro de 2026, uma plataforma de phishing como serviço (PhaaS) chamada EvilTokens foi lançada. Em cinco semanas, ela havia comprometido mais de 340 organizações do Microsoft 365 em cinco países. Os alvos da plataforma receberam uma mensagem pedindo que entrassem com um código curto em microsoft.com/devicelogin e completassem seu desafio MFA normal.
Vetor e exploração
A técnica explorada utiliza o fluxo de consentimento OAuth para contornar a autenticação multifator (MFA). Ao enganar o usuário para que ele autorize um aplicativo malicioso, os atacantes conseguem obter tokens de acesso que permitem acesso persistente às contas, mesmo com MFA ativado. O usuário acredita ter verificado a segurança, mas na verdade concedeu permissão ao invasor.
Impacto e alcance
O comprometimento de organizações do Microsoft 365 pode resultar em acesso a e-mails corporativos, arquivos armazenados na nuvem e dados sensíveis de clientes. A escala do ataque, com centenas de organizações afetadas em poucos meses, demonstra a eficácia da campanha e a necessidade de vigilância aprimorada.
Medidas de mitigação recomendadas
Organizações devem revisar as permissões de aplicativos conectados às suas contas e remover acessos não reconhecidos. A implementação de políticas de consentimento restritivas e a educação dos usuários sobre sinais de phishing são fundamentais. O monitoramento de logs de autenticação pode ajudar a detectar atividades anômalas.
O que os CISOs devem fazer agora
A equipe de segurança deve garantir que os usuários saibam verificar a legitimidade de solicitações de consentimento. A revisão de políticas de segurança do Microsoft 365 e a configuração de alertas para novos consentimentos de aplicativos são passos críticos. A resposta a incidentes deve incluir a revogação de tokens comprometidos imediatamente.