CEVIU Logo
Voltar

Descoberta de Nova Campanha de Phishing por Código de Dispositivo

Aprofundamento CEVIU

Aprofundamento

Essa campanha de phishing não é um caso isolado, é o novo padrão operacional de atores como Storm-2372 e TA4903, que migraram do BEC tradicional para o fluxo de código de dispositivo OAuth 2.0 da Microsoft como vetor principal. O ataque descoberto em 12 de março de 2026 usa uma cadeia tática refinada: domínios de remetente comprometidos (BEC) entregam links para páginas falsas hospedadas em Cloudflare Workers, que copiam automaticamente o código de dispositivo gerado e redirecionam a vítima para microsoft.com/devicelogin. Lá, o usuário autoriza sem perceber o acesso ao Microsoft Graph, com tokens válidos por até 90 dias, mesmo após redefinição de senha. A infraestrutura do atacante consulta a API da Microsoft a cada 3 segundos, contornando a janela de expiração de 15 minutos do código original.

O uso de Cloudflare Workers não é acidental: mais de 60.000 links de phishing foram identificados com essa tecnologia em novembro de 2024, e o aumento de 104% no uso desse serviço para ataques entre 2023 e 2024 mostra que os invasores estão explorando sua facilidade de implantação, custo zero e capacidade de mascarar backends maliciosos. Diferentemente de phishing baseado em senhas, esse método evita MFA por design, porque a autenticação ocorre na página legítima da Microsoft, não em um clone falso.

Por que isso importa

Esse tipo de ataque coloca em risco diretamente a governança de identidade nas empresas. Tokens OAuth com escopo no Microsoft Graph permitem leitura de e-mails, contatos, calendários, pastas do SharePoint e até execução de comandos via Graph API, tudo sem disparar alertas típicos de login suspeito. Como o acesso persiste após redefinição de senha, equipes de resposta a incidentes frequentemente subestimam a gravidade ou falham ao conter a ameaça. Além disso, a combinação com BEC significa que o ataque começa com credibilidade organizacional pré-estabelecida: o e-mail vem de um colega, chefe ou fornecedor real, tornando a educação em segurança ainda menos eficaz se não for específica para esse cenário.

Perguntas frequentes

Por que o código de dispositivo é tão perigoso se não rouba minha senha?

Porque ele não precisa roubar sua senha. Ao colar o código em microsoft.com/devicelogin, você autoriza explicitamente um aplicativo terceiro a acessar seus dados no Microsoft 365, com tokens que funcionam mesmo com MFA ativada. Esses tokens podem durar semanas e não são invalidados por troca de senha.

Como saber se meu ambiente já foi atingido por esse tipo de ataque?

Verifique os Entra SigninLogs filtrando por AuthenticationProtocol == 'deviceCode' e ResultType == '0' (sucesso). Se houver autenticações desse tipo sem histórico prévio do usuário nos últimos 30 dias, especialmente seguidas de acessos ao Microsoft Graph, há alto risco de comprometimento. Busque também URLs workers.dev em e-mails recebidos associados a esses eventos.

Posso bloquear totalmente o fluxo de código de dispositivo?

Sim, via políticas de Acesso Condicional no Microsoft Entra ID. É possível negar o uso do device code para todos os usuários ou restringi-lo a grupos específicos (ex.: TI). Mas atenção: alguns aplicativos legítimos, como clientes de e-mail antigos ou dispositivos IoT, ainda dependem dele, faça testes antes de implantar.

Por que os atacantes usam Cloudflare Workers em vez de servidores próprios?

Workers oferecem implantação instantânea, custo zero na camada gratuita e alta escalabilidade, ideal para criar milhares de páginas falsas em minutos. Também dificultam a detecção: o tráfego sai de IPs confiáveis da Cloudflare, e o conteúdo pode ser gerado dinamicamente, evitando assinaturas estáticas de antivírus ou firewalls web.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
12 de março de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser