
O cluster O-UNC-066 combina ligações telefônicas, kit de phishing operado em tempo real e páginas que imitam o fluxo de registro de passkey para registrar credencial do atacante na conta da vítima e preparar extorsão de dados.
| Componente | Contas Microsoft 365 e fluxo de registro de passkey no Microsoft Entra ID; kit de phishing em PHP com painel operacional |
| Vetor | Vishing com domínios contendo o termo passkey, seguido de kit que replica o cadastro de passkey e coleta MFA (SMS OTP, TOTP ou push com correspondência numérica) em sessão guiada pelo operador |
| Impacto | Registro não autorizado de passkey do atacante na conta da vítima, acesso indevido ao Microsoft 365 e preparação para ataques de extorsão de dados; sem indicação de redirecionamento a provedores de identidade de terceiros como Okta |
| Prioridade | Reforçar conscientização sobre cadastro legítimo de passkey, monitorar registros anômalos de passkey e chaves de recuperação, e endurecer políticas de MFA e resposta a contatos telefônicos não solicitados |
| Artefatos | Painel PHP com rotas como /gate, /backend.php, /processing, /submit-otp, /submit-authenticator, /approve-authenticator, /passkey/register, /passkey e /passkey/check; site de vazamento Pink associado ao cluster desde abril de 2026 |
| Atribuição | O-UNC-066 (Okta); CL-CRI-1147 (Palo Alto Networks Unit 42), ligado ao coletivo descentralizado The Com, com participação de Scattered Spider, ShinyHunters e LAPSUS$ |
Pesquisadores de identidade documentaram uma campanha multifacetada em que um ator de ameaça pressiona usuários do Microsoft 365 por telefone para concluir o que parece ser um cadastro legítimo de passkey no Microsoft Entra. O objetivo operacional não é apenas obter credenciais isoladas, mas registrar uma passkey controlada pelo invasor diretamente na conta corporativa da vítima, abrindo caminho para acesso persistente e atividades subsequentes de extorsão de dados. O conjunto é rastreado como O-UNC-066 e já atingiu organizações de alimentos e bebidas, tecnologia, saúde, automotivo, construção e aviação.
A técnica surge em um momento em que administradores podem configurar campanhas de registro de passkey durante o login para acelerar a adoção desse mecanismo considerado resistente a phishing. Os operadores exploram justamente essa transição organizacional: a urgência percebida de “atualizar a segurança” vira pretexto social reforçado por páginas visualmente alinhadas ao fluxo oficial da Microsoft. Em vez de uma página adversary-in-the-middle clássica voltada a roubar senha e token de MFA de uma só vez, o kit usado aqui funciona como painel PHP controlado por um operador humano que adapta a experiência da vítima conforme os desafios reais de autenticação exibidos no tenant alvo.
A análise indica que o kit se apoia na pouca familiaridade dos usuários com a cerimônia real de registro de passkey. Enquanto um cadastro legítimo normalmente aciona um diálogo do sistema para criar a credencial no dispositivo do usuário, as telas fraudulentas apenas simulam esse processo. Paralelamente, o atacante conduz o registro da própria passkey na conta comprometida. Um passo adicional apresenta uma chave de recuperação de doze palavras, semelhante a frases mnemônicas de carteiras de criptomoedas, avaliado como mecanismo de distração para manter a vítima ocupada durante o registro malicioso.
A cadeia começa com registro de domínios que incorporam a palavra passkey, alinhados a um esquema de vishing. O chamador tenta convencer o alvo de que é necessário registrar uma nova passkey por motivos de segurança. A vítima é então direcionada ao kit, cuja primeira etapa em /gate exibe um ícone de carregamento enquanto verificações anti-análise rodam em segundo plano. As credenciais coletadas são enviadas por requisição POST a um painel do operador em /backend.php.
Com os dados em mãos, outro participante da operação — possivelmente distinto do autor da ligação — insere as credenciais roubadas na página legítima de login da Microsoft do tenant visado. Enquanto isso, a vítima permanece em /processing, outra tela de espera que reflete o que o operador observa no fluxo autêntico de MFA. Conforme o desafio apresentado pela Microsoft, o kit serve páginas específicas: /submit-otp para OTP por SMS, /submit-authenticator para TOTP ou /approve-authenticator para aprovação por notificação push.
Depois que a autenticação multifator é satisfeita, a vítima chega a /passkey/register, instruída a criar uma passkey. A página com marca Microsoft em /passkey solicita salvar uma chave de recuperação; em seguida, /passkey/check pede verificar a última palavra da frase apresentada. Durante essa sequência, acredita-se que o operador induz a vítima, já enganada por telefone, a aprovar um registro de passkey iniciado pelo atacante. O resultado é uma passkey do invasor associada à conta Microsoft 365 da organização, não um reforço de autenticação no dispositivo da vítima.
Até o momento analisado, não há indicação de que o kit redirecione usuários para provedores de identidade de terceiros. O abuso concentra-se no ecossistema Microsoft. O mesmo cluster O-UNC-066 mantém um site de vazamento de dados chamado Pink desde abril de 2026. A Palo Alto Networks Unit 42 acompanha essa atividade como CL-CRI-1147 e a descreve como afiliada a um coletivo cibernético descentralizado conhecido como The Com, no qual também figuram os grupos Scattered Spider, ShinyHunters e LAPSUS$.
A campanha visa contas de usuários finais e contas privilegiadas no Microsoft 365, explorando o processo de adoção de passkeys no Entra ID. Organizações que estão implantando campanhas administrativas de registro durante o login representam alvos especialmente persuasíveis, pois o contato telefônico pode parecer coerente com iniciativas internas reais de endurecimento de autenticação.
O kit foi observado contra múltiplos setores, o que sugere seleção ampla de alvos corporativos em vez de foco estreito em um único vertical. A superfície inclui não apenas credenciais e fatores de autenticação temporários, mas também o mecanismo de registro de passkey, tradicionalmente tratado como etapa defensiva. Usuários que nunca concluíram um cadastro legítimo de passkey constituem o público mais vulnerável à interface fraudulenta.
- Contas Microsoft 365 autenticadas com MFA por SMS, TOTP ou push com correspondência numérica
- Fluxos de registro de passkey habilitados ou promovidos por campanhas administrativas no Entra ID
- Usuários em setores de alimentos e bebidas, tecnologia, saúde, automotivo, construção e aviação já identificados na atividade
- Domínios de phishing que incluem o termo passkey no nome, usados como porta de entrada do kit
A detecção exige correlacionar eventos de identidade, telemetria de endpoint e sinais de engenharia social. Como o kit interage com o fluxo legítimo da Microsoft, anomalias podem aparecer primeiro nos registros de autenticação e no histórico de métodos de login, não apenas em bloqueios de URL de phishing genérico.
Equipes devem procurar cadastros de passkey concluídos logo após sessões iniciadas por fatores incomuns ou após contatos de suporte não solicitados relatados por usuários. A presença de páginas intermediárias de processamento e de formulários que pedem OTP, códigos de autenticador ou aprovação push fora do domínio oficial da organização também pode surgir em proxies, gateways de navegação ou relatórios de usuários.
No lado de infraestrutura do atacante, o padrão de painel PHP com múltiplas rotas temáticas de passkey e MFA diferencia essa campanha de kits AiTM mais comuns. Indicadores de postura criminosa mais ampla incluem a operação do site de vazamento Pink vinculado ao mesmo cluster, útil para contextualizar pressão posterior de extorsão, embora a atribuição deva permanecer condicionada aos limites declarados pelos analistas.
- Registros de nova passkey em conta seguidos de login bem-sucedido a partir de ambiente não associado ao usuário legítimo
- Sessões em que MFA foi satisfeito por OTP, TOTP ou push logo antes de evento de registro de credencial FIDO ou passkey
- Relatos de ligações pedindo cadastro urgente de passkey, especialmente quando o usuário não iniciou campanha interna equivalente
- Requisições web internas ou de proxy mencionando caminhos como gate, processing, submit-otp, submit-authenticator, approve-authenticator ou passkey/register fora do domínio Microsoft
- Atividade posterior compatível com preparação de extorsão de dados após tomada de conta, incluindo acesso a caixas de correio e armazenamento do Microsoft 365
A resposta deve combinar endurecimento de identidade, treinamento contextualizado e monitoração de mudanças nos métodos de autenticação. Como o ataque explora tanto o fator humano quanto um fluxo tecnicamente legítimo de registro de passkey, políticas puramente baseadas em bloqueio de domínio são insuficientes se o operador já estiver conduzindo a vítima em tempo real.
Organizações em implantação de passkeys devem comunicar com precisão como será o cadastro real: quem iniciará o processo, quais domínios e interfaces aparecerão, e que nenhum suporte legítimo solicitará aprovação de registro remoto por telefone. Administradores precisam revisar quem pode registrar novos métodos de autenticação, auditar passkeys existentes e investigar rapidamente qualquer registro logo após incidente de MFA ou denúncia de vishing.
Após suspeita de comprometimento, a contenção inclui revogar passkeys não reconhecidas, redefinir fatores de autenticação comprometidos, invalidar sessões ativas e verificar regras de encaminhamento, permissões de aplicativos OAuth e atividade de exfiltração no Microsoft 365. Como o cluster tem histórico associado a extorsão de dados, equipes de resposta devem preparar-se para pressão pública ou publicação em site de vazamento, sem assumir que o acesso se limitará à leitura de e-mails.
- Publicar orientação explícita de que cadastro de passkey nunca deve ser concluído após ligação não solicitada que alegue urgência de segurança
- Auditar e remover passkeys desconhecidas nas contas Microsoft 365, priorizando contas com privilégios administrativos
- Monitorar eventos de registro de método de autenticação e correlacioná-los com mudanças de IP, dispositivo e localização
- Reforçar verificação de identidade em processos de suporte e proibir aprovação remota de desafios MFA iniciados por terceiros
- Acionar resposta a incidentes com foco em extorsão de dados quando houver indícios de tomada de conta pelo cluster O-UNC-066 ou comportamento compatível com CL-CRI-1147
0 Comentários