Logo TecMundo
Segurança

Erro de cibercriminoso revela rede de golpes que burla segurança do Microsoft 365

Pesquisadores da Lexfo descobriram esquema após invasor deixar servidor exposto na internet. Em vez de adivinhar senhas, o ataque foca no roubo de tokens e consegue contornar a autenticação de múltiplos fatores (MFA).

Avatar do(a) autor(a): Felipe Vitor Vidal Neri

schedule15/07/2026, às 19:45

Durante um ataque de phishing direcionado a contas corporativas do Microsoft 365, um cibercriminoso cometeu um erro que gerou a identificação de múltiplos golpes. Pesquisadores da empresa francesa Lexfo descobriram que o atacante deixou seus rastros acidentalmente e encontraram a “caixa de ferramentas” usada para diversas campanhas maliciosas.

A companhia de segurança descobriu isso durante uma varredura de rotina na internet no final de abril de 2026. O criminoso, apelidado de Codemado, executava uma operação de phishing recorrente, mas deixou o diretório do seu servidor aberto. Os pesquisadores encontraram e resolveram olhar o que tinha nesse server.

smart_display

Nossos vídeos em destaque

Uma vez com acesso ao servidor, foi descoberto o kit que esse cibercriminoso utilizava em seus ataques. Ao investigar um pouco mais, a Lexfo descobriu que essas ferramentas não eram usadas somente por Codemado, mas também por dois outros atacantes maliciosos, chamados de mail-argenta e saroula01.

Diferente dos ataques de força bruta, nos quais o criminoso tenta adivinhar as senhas repetidamente, essa nova onda de invasões foca no roubo de tokens de sessão. É como se esses tokens fossem uma grande credencial que um site emite após um usuário inserir sua senha e o código de autenticação multifatorial (MFA).

undefined
Codemado usava o software Madoo Blaster, uma interface para geranciamento de spams (Imagem: Lexfo/reprodução)

O principal risco dessas campanhas é a falsa sensação de segurança. Como a vítima passa pelo processo de MFA, ela acredita estar protegida. No entanto, o ataque ocorre depois dessa etapa. Isso é uma porta aberta para o sequestro de dados importantes da plataforma que o usuário tenta acessar.

Quando o MFA não resolve

O centro do ataque ao Microsoft 365 e a caixa de ferramentas dos criminosos reside nos tokens. Essas ferramentas encontradas não são inéditas, mas sim versões modificadas de um software de código aberto chamado Evilginx, disponível publicamente no GitHub. A partir disso, eles usaram IAs como o Claude para criar um ecossistema de phishing.

A metodologia utilizada por Codemado e email-agenta usa esse Evilginx para criar uma cópia perfeita da página de login da Microsoft. Quando a vítima acessa o link falso, o servidor do criminoso se coloca no meio da comunicação. A vítima digita a senha e o MFA e o servidor do hacker repassa isso em tempo real para a Microsoft.

O resultado desse processo é que a Microsoft acaba validando o token de sessão e o hacker guarda uma cópia disso, sem que a vítima perceba.

Já o esquema de saroula01 usa o “Device Code Flow”, que é aquele código usado em SmartTVs para fazer logins em aparelhos por meio de um QR Code na tela. O hacker gera um desses códigos e envia um e-mail falso à vítima, alertando sobre um "problema no autenticador" e pedindo que ela acesse o site oficial da Microsoft para inserir o código.

undefined
Cibercriminosos usaram a IA CyberNeurova para gerar scripts sem restrições (Imagem: Lexfo/reprodução)

A vítima entra no site real, coloca sua senha, passa pelo MFA verdadeiro e digita o código do hacker. Ao fazer isso, ela autoriza remotamente o acesso do criminoso à sua conta corporativa. Em ambos os casos, o acesso aos tokens por parte dos criminosos ocorre sem que a vítima perceba.

Como se proteger de ataques assim?

O grande problema em ataques direcionados ao MFA é que eles são um mecanismo de segurança legítimo. As vítimas não podem fazer muita coisa, visto que esse recurso já é a grande recomendação de vários especialistas para evitar golpes.

A Lexfo recomenda que empresas adotem soluções de autenticação multifatorial resistentes a phishing, como o FIDO2 ou chaves de segurança via biometria.

Por falar em golpes, o famoso vírus Redhook evoluiu e agora utiliza uma função nativa do próprio Android para roubar usuários e controlar celulares. Siga o TecMundo no X, Instagram, Facebook e YouTube e assine a nossa newsletter para receber as principais notícias e análises diretamente no seu e-mail.

star

Continue por aqui