Operação usou anexos PDF, páginas intermediárias com CAPTCHA e kits PhaaS para capturar credenciais e tokens Microsoft em tempo real, com maior concentração de alvos nos Estados Unidos.
| Componente | Fluxo de autenticação Microsoft exposto por phishing AiTM, com mensagens entregues por serviço legítimo de e-mail e anexos PDF contendo links para páginas controladas por atacantes. |
| Vetor | E-mails com tema de revisão de código de conduta, nomes de exibição corporativos, aviso falso de canal interno autorizado e link dentro de PDF; a vítima passa por páginas intermediárias e desafios CAPTCHA antes da página fraudulenta de entrada. |
| Impacto | Roubo de credenciais e tokens de sessão em tempo real, permitindo contornar MFA quando o usuário conclui a autenticação no fluxo AiTM. |
| Prioridade | Caçar acessos Microsoft pós-phishing, revogar sessões e tokens, revisar regras de e-mail e bloquear fluxos com anexos PDF, HTML, SVG ou ZIP que redirecionem para domínios recém-criados ou páginas com CAPTCHA. |
| Escopo | Mais de 35.000 usuários em mais de 13.000 organizações de 26 países foram alvo entre 14 e 16 de abril de 2026; 92% dos alvos estavam nos Estados Unidos. |
| Infraestrutura | A maior parte dos endpoints finais observados estava associada ao Tycoon 2FA; atividades adicionais foram vinculadas a infraestrutura de Kratos e EvilTokens. |
Uma campanha de roubo de credenciais observada entre 14 e 16 de abril de 2026 combinou engenharia social corporativa, entrega por serviço legítimo de e-mail, anexos PDF e phishing AiTM para capturar credenciais e tokens Microsoft. O volume foi amplo: mais de 35.000 usuários em mais de 13.000 organizações de 26 países receberam mensagens relacionadas a supostas revisões de código de conduta. A concentração geográfica foi marcante, com 92% dos alvos nos Estados Unidos, e a distribuição setorial atingiu principalmente saúde e ciências da vida, serviços financeiros, serviços profissionais e tecnologia ou software. A escolha de temas disciplinares e de conformidade aumenta a taxa de interação porque desloca a decisão do usuário para um cenário de urgência interna, no qual a vítima tende a abrir o anexo para entender uma acusação ou pendência trabalhista.
As mensagens usavam nomes de exibição como Internal Regulatory COC, Workforce Communications e Team Conduct Report, além de assuntos ligados a registro de caso interno, política de conduta e não conformidade. O conteúdo foi construído com aparência empresarial, layouts estruturados e declarações preventivas de autenticidade, incluindo avisos de que a comunicação teria sido emitida por canal interno autorizado e de que links e anexos teriam sido revisados para acesso seguro. Esse detalhe é relevante para defesa porque o ataque não depende apenas de um domínio visualmente parecido: ele tenta neutralizar a suspeita do usuário dentro do próprio texto da mensagem. O anexo PDF funciona como ponte para o fluxo malicioso, reduzindo a exposição direta do link no corpo do e-mail e adicionando uma etapa que muitas ferramentas de filtragem precisam inspecionar em profundidade.
O fluxo começa com uma mensagem enviada por infraestrutura de e-mail legítima, uma técnica que reduz atrito em controles baseados apenas em reputação de IP, autenticação de remetente e bloqueios simples de domínio. A vítima recebe uma notificação com tema de código de conduta e abre um PDF que promete detalhar a revisão interna. O link embutido no documento leva a uma sequência de páginas intermediárias, incluindo rodadas de CAPTCHA e telas de transição. Essas etapas cumprem duas funções: reforçam a percepção de legitimidade para o usuário e dificultam a análise automatizada por scanners, sandboxes e crawlers que não completam desafios interativos ou que executam o conteúdo fora de um navegador real com perfil humano.
Após as páginas de filtragem, o usuário chega a uma experiência de entrada falsa que implementa táticas AiTM. Nesse modelo, o operador do phishing posiciona uma camada intermediária entre a vítima e o serviço legítimo, repassando a autenticação em tempo real enquanto coleta credenciais, cookies e tokens de sessão. Quando a vítima conclui a autenticação e responde a um desafio de MFA, o atacante pode obter material de sessão suficiente para acessar a conta sem precisar repetir o segundo fator naquele momento. O destino final variava conforme o acesso partia de dispositivo móvel ou desktop, sinal de que a campanha usava lógica de roteamento para adaptar a página apresentada, filtrar ambientes indesejados ou encaminhar perfis diferentes para payloads compatíveis.
A infraestrutura final não ficou limitada a um único provedor de phishing como serviço. A maior parte dos endpoints observados estava associada ao Tycoon 2FA, enquanto outros fluxos tiveram ligação com Kratos, anteriormente conhecido como Sneaky 2FA, e EvilTokens. Essa diversidade sugere reaproveitamento de modelos, hospedagem e componentes de kits PhaaS em campanhas com estrutura comum de entrega. Também há um contexto operacional importante: operadores do Tycoon 2FA passaram a alterar provedores de hospedagem e padrões de registro de domínio depois de uma ação coordenada de interrupção em março de 2026, movendo domínios para plataformas alternativas em busca de proteções contra análise e derrubada.
A superfície principal é formada por contas corporativas Microsoft expostas a autenticação interativa por navegador, especialmente usuários que recebem comunicações internas, documentos de conformidade, avisos de recursos humanos ou mensagens disciplinares. Organizações com dependência forte de MFA, mas sem controles adicionais de sessão, risco de login, conformidade de dispositivo e proteção contra proxy reverso, permanecem vulneráveis ao roubo de token porque o segundo fator pode ser consumido dentro do próprio fluxo fraudulento. O risco cresce quando a empresa permite acesso a e-mail, arquivos, aplicações SaaS e painéis administrativos a partir de dispositivos não gerenciados ou redes não confiáveis apenas com usuário, senha e desafio de autenticação.
O padrão também se conecta a tendências mais amplas de phishing por e-mail no primeiro trimestre de 2026. A maioria das ameaças detectadas nesse período foi baseada em links, com grande uso de arquivos HTML e ZIP como payloads distribuídos por e-mail. O objetivo dominante foi captura de credenciais, enquanto entrega de malware caiu para uma fração menor do total no fim do trimestre. O phishing com QR code teve crescimento acelerado, passando de 7,6 milhões de ataques em janeiro para 18,7 milhões em março, aumento de 146%, inclusive com QR codes incorporados diretamente ao corpo de e-mails. Para defensores, isso indica que anexos, links, QR codes e páginas com CAPTCHA devem ser tratados como partes de uma mesma superfície de roubo de identidade, não como categorias isoladas.
- Contas Microsoft de usuários que abriram anexos
PDFcom tema de conduta e concluíram autenticação em página externa ao domínio corporativo esperado. - Setores com maior volume de alvos: saúde e ciências da vida, serviços financeiros, serviços profissionais, tecnologia e software.
- Ambientes que confiam apenas em
SPF,DKIMeDMARCpodem deixar passar mensagens enviadas por serviços legítimos comprometidos ou abusados, incluindo fluxos semelhantes baseados emAmazon SES.
A investigação deve começar pela cadeia de e-mail e avançar para identidade. Em gateways, caixas postais e soluções de colaboração, procure mensagens com nomes de exibição associados a comunicação interna, conduta, conformidade, caso disciplinar ou política de trabalho, especialmente quando incluírem PDF com link externo. O hunting não deve depender apenas do assunto exato, porque operadores alteram pequenas partes do texto para escapar de regras. O ponto mais forte é a combinação de remetente autenticado por serviço legítimo, anexo documental, promessa de revisão interna, link para domínio fora do tenant e redirecionamento posterior para páginas com CAPTCHA ou telas de espera.
Na camada de identidade, priorize usuários que receberam a mensagem e tiveram logins incomuns nas horas seguintes. Sinais relevantes incluem criação de novas sessões após interação com e-mail, alterações de localização, mudança de agente de usuário, acesso por dispositivo não gerenciado, falhas e sucessos de MFA em sequência, refresh tokens emitidos perto do horário de clique e uso de aplicações Microsoft a partir de ASN ou países incompatíveis com o histórico do usuário. Como phishing AiTM pode produzir autenticação aparentemente legítima, a ausência de falha de senha ou a presença de MFA bem-sucedido não deve encerrar a análise. O foco precisa estar na continuidade da sessão, no contexto do dispositivo e no desvio em relação ao comportamento normal.
Também é necessário observar páginas de destino e infraestrutura intermediária. Kits PhaaS frequentemente usam múltiplos domínios, páginas de verificação e roteamento por perfil. Registros de proxy, DNS seguro, EDR e navegador podem revelar visitas a domínios recém-registrados, encadeamento de redirecionamentos, solicitações a páginas de CAPTCHA fora de provedores esperados e submissões para endpoints que imitam páginas Microsoft. Em campanhas semelhantes com SVG e HTML, o arquivo inicial abriu um redirecionamento para uma página de triagem e depois apresentou login fraudulento. Esse padrão permite criar detecções comportamentais centradas em documento que abre URL, URL que aciona desafio, desafio que encaminha para coleta de credencial.
- E-mails com anexo
PDF,HTML,SVGouZIPe assunto relacionado a código de conduta, não conformidade, pagamento, fatura ou plano401(k). - Logins Microsoft com
MFAbem-sucedido logo após clique em link externo, seguidos por emissão de token, acesso de novo dispositivo ou mudança de localização. - Tráfego para páginas com
CAPTCHAantes de telas de entrada, principalmente quando o domínio final não pertence ao provedor legítimo de identidade. - Mensagens enviadas por infraestrutura confiável, mas com remetente, conteúdo e link incompatíveis com canais internos reais.
A resposta deve tratar o evento como possível comprometimento de sessão, não apenas como clique em phishing. Para usuários expostos, revogue sessões ativas e tokens, force redefinição de senha quando houver evidência de submissão de credencial e reavalie métodos de MFA registrados. Em seguida, revise logs de e-mail, identidade e aplicações para identificar acesso a caixas postais, regras de encaminhamento, criação de aplicativos OAuth, consentimentos suspeitos, downloads em massa e movimentação para recursos internos. A contenção precisa incluir bloqueio dos domínios e URLs conhecidos, mas não pode depender de lista estática, porque a campanha usa infraestrutura distribuída e provedores PhaaS que alteram hospedagem rapidamente.
No controle preventivo, endureça políticas de acesso condicional para exigir dispositivo conforme, autenticação resistente a phishing quando possível e avaliação de risco de sessão. Métodos baseados em chaves vinculadas ao domínio e ao dispositivo reduzem o valor de um proxy AiTM, enquanto desafios tradicionais de MFA por push, código ou sessão web podem ser consumidos pelo atacante durante a interação. Para e-mail, aumente inspeção de anexos documentais com links, extraia URLs de PDF, SVG, HTML e arquivos compactados, aplique detonação com navegador real quando viável e crie regras para mensagens que afirmam aprovação interna de links sem corresponder a modelos corporativos assinados ou a domínios oficiais.
A validação pós-mitigação deve confirmar que contas afetadas não mantiveram persistência. Isso inclui procurar regras de caixa postal criadas após o clique, tokens ainda válidos, dispositivos adicionados, métodos de autenticação modificados, aplicativos com consentimento recente e acessos a dados sensíveis. Em paralelo, revise processos internos de comunicação disciplinar e de conformidade para que mensagens legítimas usem canais previsíveis, assinatura verificável e domínios consistentes. A educação do usuário deve focar no comportamento específico observado: acusações com urgência, anexos que transferem a ação para um link externo, páginas com CAPTCHA antes do login e avisos genéricos de autorização inseridos no próprio e-mail.
- Revogar sessões e refresh tokens de usuários que interagiram com os links, depois revisar logs de entrada, caixa postal e aplicações acessadas.
- Exigir autenticação resistente a phishing e políticas de acesso condicional com dispositivo gerenciado para aplicações críticas.
- Extrair e analisar URLs de anexos
PDF,HTML,SVGeZIP, bloqueando redirecionamentos para domínios suspeitos ou recém-criados. - Monitorar abuso de serviços legítimos de envio, incluindo cenários com
Amazon SESobtido por chavesAWSvazadas, porque mensagens podem passar porSPF,DKIMeDMARC.
0 Comentários