Descoberta de Nova Campanha de Phishing por Código de Dispositivo

Uma campanha de phishing explorou o fluxo de código de dispositivo OAuth 2.0 da Microsoft, enganando vítimas para visitarem páginas hospedadas em Cloudflare Workers que imitavam o Adobe Acrobat Sign, utilizando domínios de remetentes comprometidos por BEC. A campanha automaticamente copiava um código de dispositivo gerado pelo atacante para a área de transferência e redirecionava as vítimas para o portal legítimo microsoft.com/devicelogin para coletar tokens. O backend do atacante consulta o endpoint de código de dispositivo da Microsoft a cada 3 segundos, troca o código completado por tokens OAuth de acesso e refresh com escopo para o Microsoft Graph, e então redireciona as vítimas silenciosamente para adobe.com, não deixando sinais de comprometimento.

Indicadores de Compromisso (IOCs) de 23 subdomínios workers.dev, juntamente com endereços de remetentes suspeitos incorporados em nomes de conta, foram publicados. Profissionais de defesa devem procurar por eventos de autenticação de código de dispositivo nos Entra SigninLogs, filtrando por `AuthenticationProtocol == "deviceCode"`. Eles também devem sinalizar autenticações de código de dispositivo pela primeira vez sem histórico anterior de 30 dias (`ResultType == 0`) e alertar sobre URLs workers.dev em e-mails recebidos que estejam ligados a eventos de autenticação do mesmo usuário.