Campanha de phishing usa código de autenticação Microsoft 365 para roubar contas
Por Jaqueline Sousa • Editado por Jones Oliveira |
Uma nova campanha de phishing está ameaçando usuários do Microsoft 365. Pesquisadores da Proofpoint identificaram que um grupo de hackers suspeito de estar alinhado com a Rússia está por trás dos ataques, que usam códigos de autenticação de dispositivos para roubar credenciais.
- Conheça as senhas mais usadas no Brasil em 2025 e por recorte de gerações
- Campanha engana usuários com alerta falso de extensão no navegador
Na ativa desde setembro de 2025, a campanha envolve ações ilegais para apropriação total de contas a partir de endereços de e-mail comprometidos. Os alvos são organizações governamentais e militares dos Estados Unidos e da Europa, visando afetar entidades públicas, centros de pesquisa, instituições de ensino superior e o setor de transportes.
Segundo os especialistas, os criminosos realizam contatos legítimos com as vítimas, estabelecendo uma relação voltada à área de especialização em questão para agendar uma reunião ou entrevista que não existe.
Como os ataques são feitos
Logo depois do primeiro contato com a vítima, o hacker compartilha um link para um documento alegando a inclusão de perguntas ou tópicos para que a vítima revise antes da reunião solicitada.
À primeira vista, o documento parece levar para uma URL do Microsoft OneDrive, mas que hospeda, na verdade, um endereço falso do Cloudflare Worker que imita a conta do alvo. Na página, a pessoa é instruída a copiar um código e clicar no botão “Avançar” para conseguir acessar o suposto arquivo.
Assim que o usuário completa a ação, ele é redirecionado para uma URL legítima de login do código de autenticação que gera um token de acesso. Dessa forma, os hackers conseguem “recuperar” a conta para obter controle total das credenciais da vítima.
Ataques contra instituições legais
O que acendeu o alerta vermelho nos especialistas em relação à campanha de phishing foi justamente a escolha dos alvos, mostrando uma operação cujo objetivo é atacar setores governamentais e autoridades de países europeus e dos Estados Unidos.
De acordo com a Proofpoint, a suspeita envolvendo a ligação do grupo hacker com a Rússia pode ter relação com o modus operandi dos criminosos, que miram pesquisadores especializados em questões do país de vários centros de pesquisa, além de organizações governamentais e instituições do setor de energia da Ucrânia, para obter materiais sigilosos.
Leia também:
- Agências dos EUA e Europa recomendam desligar Wi-Fi ao sair de casa; entenda
- Malware usa API do Google Drive para controlar o Windows secretamente
- Campanha de phishing rouba contas no WhatsApp via código de pareamento
Fonte: The Hacker News