- Proofpoint relata aumento em explorações de phishing Fluxo de código de dispositivo Microsoft OAuth 2.0
- As vítimas injetam código em domínios reais da Microsoft, dando aos invasores tokens de acesso
- A Proofpoint recomenda bloquear fluxos de código de dispositivo
Os cibercriminosos, incluindo agentes de ameaças patrocinados pelo Estado, estão usando cada vez mais o fluxo de autenticação de código de dispositivo OAuth 2.0 da Microsoft para assumir o controle de contas do Microsoft 365.
Isso está de acordo com um novo relatório dos pesquisadores de segurança cibernética Proofpoint. Num novo artigo publicado em 18 de dezembro, os investigadores confirmam que desde setembro de 2025 tem havido um aumento nos ataques de engenharia social em que as vítimas são enganadas para dar acesso às suas contas.
O ataque geralmente começa com um e-mail de phishing contendo um link ou código QR. As vítimas são então instruídas a visualizar o conteúdo e devem autenticar novamente sua conta inserindo o código do dispositivo na página de login da Microsoft.
Russos, chineses e outros
Depois que o código é inserido, os agentes da ameaça recebem um token de acesso vinculado à sua conta, não apenas concedendo acesso, mas também permitindo rastreamento de e-mail, movimentação lateral e muito mais.
O login ocorre em um domínio real da Microsoft, explica Proofpoint, o que significa que as defesas tradicionais contra phishing e as verificações de conscientização do usuário são em sua maioria inúteis. Os invasores não estão roubando senhas ou códigos MFA, portanto, nenhum alarme dispara.
A Proofpoint afirma que há vários grupos que atualmente abusam dessa técnica, incluindo TA2723 (um ator de ameaças com motivação econômica), UNK_AcademicFlare (um ator de ameaças patrocinado pelo Estado russo que tem como alvo contas de e-mail governamentais e militares para fins de espionagem cibernética) e vários grupos na China.
Também foi relatado que os criminosos estão usando diferentes estruturas de phishing, como SquarePhish 2 e Graphish, que automatizam o abuso de código do dispositivo, aceitam códigos QR e se integram aos registros de aplicativos do Azure. Isso reduz a barreira de entrada e permite que agentes de ameaças ainda menos qualificados realizem ataques.
A Proofpoint acredita que o abuso de OAuth e autenticação de código de dispositivo aumentará, especialmente à medida que as organizações adotarem autenticação sem senha e baseada em FIDO, e recomenda bloquear fluxos de código de dispositivo por meio de acesso condicional sempre que possível.
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber novidades, análises, unboxings em formato de vídeo e receber atualizações constantes nossas WhatsApp também
