UTA0355: phishing que simula eventos europeus rouba tokens OAuth e device codes
Analistas da Volexity atribuem a uma campanha dirigida ao grupo rastreado como UTA0355 um esquema que falsifica convites para eventos europeus para capturar tokens OAuth e codes de device e obter acesso a contas Microsoft 365 e Google.
Descoberta e escopo / O que mudou agora
A campanha usa convites que parecem legítimos — frequentemente vinculados a conferências como o Belgrade Security Conference ou o Brussels Indo‑Pacific Dialogue — e encaminha alvos a sites de registo que imitam organizadores reais. Em muitos casos, as contas de envio ou IDs de mensageiros iniciais também são identidades comprometidas, melhorando a confiança inicial.
Vetor e exploração / Mitigações
O vetor técnico explora fluxos OAuth e o Device Code: após a vítima inserir e aceitar o registo, os atacantes capturam tokens e códigos a partir da URL do navegador e os reutilizam para obter acesso de longo prazo a APIs de e‑mail e arquivos. Em alguns incidentes, as vítimas são induzidas a colar a URL completa em chat sob o pretexto de concluir o registo, facilitando a captura dos tokens.
Mitigações práticas recomendadas incluem revisão rigorosa de registros e consentimentos OAuth, detecção de inconsistências em logs de dispositivo (por exemplo, registro de dispositivos com nomes reais vindo de IPs ou user‑agents incomuns) e triagem de sessões que apresentam discrepâncias entre user‑agent e nome do dispositivo. Volexity fornece regras de detecção e contexto técnico que equipes de segurança podem implementar em SIEMs.
Impacto e alcance / Setores afetados
O ataque busca credenciais e tokens que permitem acesso API‑level a mailboxes e arquivos, ficando menos dependente de malwares tradicionais e mais focado em abuso de fluxos de autenticação. Organizações com uso intensivo de Microsoft 365 e Google Workspace — especialmente entidades políticas, acadêmicas e de políticas públicas que participam de conferências internacionais — são alvos prováveis.
Limites das informações / O que falta saber
Os detalhes públicos não informam o número de vítimas ou a amplitude geográfica completa da campanha. Também não há, na descrição disponível, amostras de sites fraudulentos com indicadores completos; os relatos apontam domínios observados como exemplos de iscas (por exemplo, bsc2025[.]org), mas uma lista completa de IOCs não foi publicada no resumo consultado.
Repercussão / Próximos passos
Equipes de segurança devem endurecer a validação de fluxos OAuth, exigir verificações adicionais para concessão de consentimentos a aplicações de terceiros e monitorar registros de dispositivos para identificar registros atípicos. Treinamento dirigido a equipes que lidam com convites e comunicações externas (incluindo validação por canais oficiais) também é recomendado para reduzir o risco de engenharia social usado neste esquema.