Vários grupos de piratas informáticos estão a visar organizações dos setores tecnológico, financeiro e industrial através de campanhas que combinam phishing de código de dispositivo e engenharia social por voz (vishing). O objetivo destas operações é abusar do fluxo de autorização de dispositivos do protocolo OAuth 2.0 para comprometer contas Microsoft Entra e contornar medidas de segurança tradicionais.
Ao contrário de ataques anteriores, que utilizavam aplicações maliciosas para comprometer contas, estas novas campanhas aproveitam IDs de cliente legítimos da Microsoft. Ao utilizar o fluxo oficial de autenticação, os atacantes conseguem obter tokens válidos sem precisarem de criar sites de phishing que roubam palavras-passe ou interceptam códigos de autenticação multifatorial (MFA).
Engenharia social substitui infraestruturas complexas
O ataque baseia-se no abuso de uma funcionalidade desenhada para ligar dispositivos com opções de introdução de texto limitadas, como televisões inteligentes, impressoras ou equipamentos IoT. Neste fluxo, o dispositivo apresenta um código curto e instrui o utilizador a visitar uma página num navegador em qualquer outro equipamento, como um telemóvel ou computador, para concluir a sessão.
Os criminosos entram em contacto com os funcionários das empresas visadas e, através de técnicas de persuasão por voz, convencem-nos a introduzir um código gerado pelos atacantes na página legítima da empresa. Uma vez que o código é inserido no portal oficial, a vítima é solicitada a fazer o login e completar a verificação MFA. Como todo o processo ocorre dentro do ecossistema oficial, a confiança do utilizador é maior.
Após a autenticação bem-sucedida, os piratas informáticos conseguem extrair tokens de atualização que lhes garantem acesso persistente aos recursos da vítima. Isto permite entrar em serviços como o Microsoft 365, Salesforce e até ferramentas do Google Workspace, sem que seja necessário repetir o processo de autenticação de dois fatores, facilitando o roubo de dados corporativos para fins de extorsão.
O papel do gang ShinyHunters e as medidas de proteção
Existem fortes indícios de que o conhecido grupo de extorsão ShinyHunters esteja por trás desta vaga de ataques. O gang, recentemente associado a incidentes de roubo de dados em contas SSO, terá confirmado a sua participação nestas campanhas de vishing. A utilização de aplicações legítimas da própria empresa que gere o serviço confere uma camada de credibilidade que torna a deteção difícil para o utilizador comum.
A empresa de segurança KnowBe4 detetou campanhas semelhantes em dezembro de 2025, que utilizavam iscos como alertas de configuração de pagamentos e notificações de correio de voz falsas. Para mitigar estes riscos, os especialistas recomendam que os administradores de sistemas auditem e revoguem consentimentos de aplicações OAuth suspeitas e analisem os registos de início de sessão à procura de eventos de autenticação por código de dispositivo.
Sempre que não for estritamente necessário, a opção de fluxo de código de dispositivo deve ser desativada nas definições de administração, conforme detalhado na documentação oficial da Microsoft. Além disso, a aplicação de políticas de acesso condicional pode ajudar a bloquear tentativas de acesso originadas fora de contextos geográficos ou de rede esperados.
Nenhum comentário
Seja o primeiro!