Pesquisadores de cibersegurança alertam sobre uma campanha ativa de phishing por código de dispositivo que está atacando identidades do Microsoft 365 em mais de 340 organizações nos EUA, Canadá, Austrália, Nova Zelândia e Alemanha. Identificada pela Huntress em 19 de fevereiro de 2026, a campanha utiliza redirecionamentos do Cloudflare Workers e uma infraestrutura hospedada na Railway, transformando-a em um motor de coleta de credenciais. Os setores mais afetados incluem construção, serviços financeiros, saúde e governo. A técnica de phishing por código de dispositivo explora o fluxo de autorização OAuth, permitindo que os atacantes obtenham tokens de acesso persistentes, mesmo após a redefinição de senhas. O ataque começa com um e-mail de phishing que leva a uma página de login legítima da Microsoft, onde a vítima insere seu código de dispositivo e credenciais. A Huntress também atribui a campanha a uma nova plataforma de phishing como serviço chamada EvilTokens, que oferece ferramentas para enviar e-mails de phishing e contornar filtros de spam. A Palo Alto Networks também relatou uma campanha semelhante, destacando o uso de técnicas anti-análise para evitar detecções.
Fonte: https://thehackernews.com/2026/03/device-code-phishing-hits-340-microsoft.html
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
25/03/2026 • Risco: ALTO
PHISHING
Campanha de phishing ativa mira identidades do Microsoft 365
RESUMO EXECUTIVO
A campanha de phishing ativa que explora o OAuth para obter acesso a contas do Microsoft 365 representa uma ameaça significativa para várias indústrias. A utilização de técnicas sofisticadas e a capacidade de contornar filtros de segurança tornam a situação crítica, exigindo atenção imediata dos líderes de segurança.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras significativas devido ao comprometimento de dados e interrupções operacionais.
Operacional
Comprometimento de contas e acesso não autorizado a dados sensíveis.
Setores vulneráveis
['Construção', 'Serviços financeiros', 'Saúde', 'Governo']
📊 INDICADORES CHAVE
Mais de 340 organizações afetadas.
Indicador
84% dos eventos observados originaram-se de três IPs específicos.
Contexto BR
Campanha atribuída a grupos alinhados à Rússia.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar logs de autenticação para tentativas de login a partir de IPs da Railway.
2
Revogar todos os tokens de atualização para usuários afetados e bloquear tentativas de autenticação da infraestrutura Railway.
3
Monitorar continuamente atividades suspeitas e tentativas de login em contas do Microsoft 365.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança das identidades digitais, especialmente em plataformas amplamente utilizadas como o Microsoft 365, que são alvos frequentes de ataques.
⚖️ COMPLIANCE
Implicações na LGPD devido ao potencial acesso não autorizado a dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
