Durante um ataque de phishing direcionado a contas corporativas do Microsoft 365, um cibercriminoso cometeu um erro que gerou a identificação de múltiplos golpes. Pesquisadores da empresa francesa Lexfo descobriram que o atacante deixou seus rastros acidentalmente e encontraram a “caixa de ferramentas” usada para diversas campanhas maliciosas.
A companhia de segurança descobriu isso durante uma varredura de rotina na internet no final de abril de 2026. O criminoso, apelidado de Codemado, executava uma operação de phishing recorrente, mas deixou o diretório do seu servidor aberto. Os pesquisadores encontraram e resolveram olhar o que tinha nesse server.
Nossos vídeos em destaque
Uma vez com acesso ao servidor, foi descoberto o kit que esse cibercriminoso utilizava em seus ataques. Ao investigar um pouco mais, a Lexfo descobriu que essas ferramentas não eram usadas somente por Codemado, mas também por dois outros atacantes maliciosos, chamados de mail-argenta e saroula01.
Diferente dos ataques de força bruta, nos quais o criminoso tenta adivinhar as senhas repetidamente, essa nova onda de invasões foca no roubo de tokens de sessão. É como se esses tokens fossem uma grande credencial que um site emite após um usuário inserir sua senha e o código de autenticação multifatorial (MFA).

O principal risco dessas campanhas é a falsa sensação de segurança. Como a vítima passa pelo processo de MFA, ela acredita estar protegida. No entanto, o ataque ocorre depois dessa etapa. Isso é uma porta aberta para o sequestro de dados importantes da plataforma que o usuário tenta acessar.
Quando o MFA não resolve
O centro do ataque ao Microsoft 365 e a caixa de ferramentas dos criminosos reside nos tokens. Essas ferramentas encontradas não são inéditas, mas sim versões modificadas de um software de código aberto chamado Evilginx, disponível publicamente no GitHub. A partir disso, eles usaram IAs como o Claude para criar um ecossistema de phishing.
A metodologia utilizada por Codemado e email-agenta usa esse Evilginx para criar uma cópia perfeita da página de login da Microsoft. Quando a vítima acessa o link falso, o servidor do criminoso se coloca no meio da comunicação. A vítima digita a senha e o MFA e o servidor do hacker repassa isso em tempo real para a Microsoft.
O resultado desse processo é que a Microsoft acaba validando o token de sessão e o hacker guarda uma cópia disso, sem que a vítima perceba.
Já o esquema de saroula01 usa o “Device Code Flow”, que é aquele código usado em SmartTVs para fazer logins em aparelhos por meio de um QR Code na tela. O hacker gera um desses códigos e envia um e-mail falso à vítima, alertando sobre um "problema no autenticador" e pedindo que ela acesse o site oficial da Microsoft para inserir o código.

A vítima entra no site real, coloca sua senha, passa pelo MFA verdadeiro e digita o código do hacker. Ao fazer isso, ela autoriza remotamente o acesso do criminoso à sua conta corporativa. Em ambos os casos, o acesso aos tokens por parte dos criminosos ocorre sem que a vítima perceba.
Como se proteger de ataques assim?
O grande problema em ataques direcionados ao MFA é que eles são um mecanismo de segurança legítimo. As vítimas não podem fazer muita coisa, visto que esse recurso já é a grande recomendação de vários especialistas para evitar golpes.
A Lexfo recomenda que empresas adotem soluções de autenticação multifatorial resistentes a phishing, como o FIDO2 ou chaves de segurança via biometria.
Por falar em golpes, o famoso vírus Redhook evoluiu e agora utiliza uma função nativa do próprio Android para roubar usuários e controlar celulares. Siga o TecMundo no X, Instagram, Facebook e YouTube e assine a nossa newsletter para receber as principais notícias e análises diretamente no seu e-mail.
)
)
)
)
)
)
)