O kit de phishing Tycoon2FA, que já havia sido interrompido por uma operação internacional de aplicação da lei em março, foi rapidamente reestruturado e voltou a operar em níveis normais. Recentemente, foi identificado em uma campanha que utiliza fluxos de autorização de dispositivo OAuth 2.0 para comprometer contas do Microsoft 365. O ataque de phishing com código de dispositivo envolve o envio de um pedido de autorização de dispositivo ao provedor de serviços, enganando a vítima para que insira um código gerado em uma página de login legítima da Microsoft. Isso permite que o atacante registre um dispositivo malicioso com a conta da vítima, obtendo acesso irrestrito a dados e serviços, como e-mails e armazenamento em nuvem. A Push Security relatou um aumento de 37 vezes nesse tipo de ataque este ano, com suporte de pelo menos dez plataformas de phishing como serviço (PhaaS). O Tycoon2FA também implementou camadas adicionais de ofuscação para dificultar a detecção. Especialistas recomendam desabilitar o fluxo de código de dispositivo OAuth quando não necessário e monitorar logs de autenticação para mitigar esses riscos.
Fonte: https://www.bleepingcomputer.com/news/security/tycoon2fa-hijacks-microsoft-365-accounts-via-device-code-phishing/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
17/05/2026 • Risco: ALTO
PHISHING
Kit de phishing Tycoon2FA agora suporta ataques com código de dispositivo
RESUMO EXECUTIVO
O Tycoon2FA representa uma ameaça significativa para usuários do Microsoft 365, com um aumento alarmante nos ataques de phishing. A utilização de técnicas sofisticadas para enganar as vítimas e obter acesso a dados sensíveis requer atenção imediata dos líderes de segurança.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras devido ao acesso não autorizado a informações sensíveis.
Operacional
Acesso irrestrito a dados e serviços da vítima.
Setores vulneráveis
['Setores que utilizam Microsoft 365, como financeiro, saúde e tecnologia.']
📊 INDICADORES CHAVE
Aumento de 37 vezes nos ataques de phishing com código de dispositivo.
Indicador
Suporte de pelo menos dez plataformas de phishing como serviço.
Contexto BR
230 nomes de fornecedores na lista de bloqueio do kit.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar se o fluxo de código de dispositivo OAuth está habilitado e se é necessário.
2
Desabilitar o fluxo de código de dispositivo OAuth quando não for necessário.
3
Monitorar logs de autenticação e atividades relacionadas ao uso de OAuth.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança das contas do Microsoft 365, que são alvos frequentes de ataques de phishing. A proteção de dados sensíveis e a conformidade com a LGPD são cruciais.
⚖️ COMPLIANCE
Implicações da LGPD em caso de comprometimento de dados.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
