Microsoft 365

Uma nova campanha de phishing tem como alvo usuários do Microsoft 365, com a identificação de um grupo de hackers possivelmente vinculado à Rússia. Desde setembro de 2025, esses ataques têm como foco organizações governamentais e militares dos Estados Unidos e Europa, visando entidades públicas, centros de pesquisa e instituições de ensino superior. Os criminosos estabelecem um contato inicial legítimo com as vítimas, agendando reuniões fictícias. Após esse contato, um link é enviado, supostamente para um documento no Microsoft OneDrive, mas que na verdade redireciona para uma página falsa que imita a conta do usuário. Ao copiar um código e clicar em “Avançar”, a vítima é levada a uma URL legítima de login, onde os hackers conseguem capturar as credenciais. A escolha dos alvos, que inclui setores críticos como energia e pesquisa, levanta preocupações sobre a segurança de informações sensíveis e a possibilidade de acesso a dados sigilosos.

Um grupo suspeito de estar alinhado à Rússia está sendo responsabilizado por uma campanha de phishing que utiliza fluxos de autenticação por código de dispositivo para roubar credenciais do Microsoft 365 e realizar ataques de tomada de conta. A atividade, que começou em setembro de 2025, é monitorada pela Proofpoint sob o nome UNK_AcademicFlare. Os ataques envolvem o uso de endereços de e-mail comprometidos de organizações governamentais e militares para atingir entidades em setores como governo, think tanks, educação superior e transporte nos EUA e na Europa. Os atacantes se apresentam como representantes de organizações legítimas e enviam links que supostamente levam a documentos relevantes, mas que na verdade redirecionam as vítimas para uma página de login da Microsoft. Ao inserir o código fornecido, os atacantes conseguem gerar um token de acesso e tomar controle da conta da vítima. A Proofpoint alerta que essa técnica de phishing foi documentada anteriormente e está sendo utilizada por diversos grupos, tanto estatais quanto motivados financeiramente, para obter acesso não autorizado a dados sensíveis. Para mitigar os riscos, recomenda-se a criação de políticas de Acesso Condicional que bloqueiem esse fluxo de autenticação para todos os usuários ou que permitam apenas para usuários aprovados.

As autoridades da Nigéria anunciaram a prisão de três suspeitos de fraudes na internet, envolvidos em ataques de phishing que visavam grandes corporações, incluindo o desenvolvedor do esquema RaccoonO365, um serviço de phishing como serviço (PhaaS). O principal suspeito, Okitipi Samuel, também conhecido como Moses Felix, é acusado de operar um canal no Telegram onde vendia links de phishing em troca de criptomoedas e hospedava portais de login fraudulentos utilizando credenciais de e-mail roubadas. A investigação, realizada em colaboração com a Microsoft e o FBI, resultou na apreensão de laptops e dispositivos móveis relacionados à operação. O RaccoonO365 é um grupo motivado financeiramente que permite a coleta de credenciais ao criar páginas de phishing que imitam os logins do Microsoft 365. Desde julho de 2024, estima-se que o esquema tenha levado ao roubo de pelo menos 5.000 credenciais de usuários em 94 países. A Microsoft, em uma ação civil, processou indivíduos envolvidos na operação, destacando o impacto financeiro e as violações de propriedade intelectual resultantes desses crimes cibernéticos. Além disso, a Google também está processando operadores de outro serviço PhaaS, o Darcula, que tem causado uma onda de smishing nos EUA.

Um novo relatório da JumpCloud e Google Workspace revela que apenas 6% dos líderes de TI estão satisfeitos com suas configurações tecnológicas atuais, destacando preocupações com custos, segurança e complexidade. A pesquisa indica que 87% dos líderes estão abertos a mudar suas suítes de produtividade em busca de plataformas mais unificadas e seguras. Os principais desafios enfrentados incluem tarefas administrativas elevadas, configurações de segurança complexas e preços complicados. A pesquisa critica a plataforma Microsoft 365, apontando a alta sobrecarga administrativa e a complexidade de configuração de segurança como principais pontos de dor. A utilização de inteligência artificial (IA) e uma postura de segurança de confiança zero são sugeridas como soluções para simplificar a gestão de dispositivos e usuários, além de prevenir ataques. O relatório enfatiza a necessidade de uma abordagem unificada para a gestão de identidade e segurança, em vez de depender de uma coleção desorganizada de ferramentas separadas.

O grupo de ameaças conhecido como ToddyCat tem utilizado métodos inovadores para obter acesso a dados de e-mail corporativo de empresas-alvo, incluindo uma ferramenta personalizada chamada TCSectorCopy. Essa técnica permite que os atacantes obtenham tokens do protocolo de autorização OAuth 2.0 através do navegador do usuário, possibilitando o acesso a e-mails corporativos fora da infraestrutura comprometida. Desde 2020, o ToddyCat tem como alvo diversas organizações na Europa e na Ásia, utilizando ferramentas como Samurai e TomBerBil para manter acesso e roubar cookies e credenciais de navegadores como Google Chrome e Microsoft Edge. Recentemente, o grupo explorou uma vulnerabilidade no ESET Command Line Scanner (CVE-2024-11859) para entregar um malware inédito chamado TCESB. Além disso, uma nova variante do TomBerBil foi detectada, capaz de extrair dados do Mozilla Firefox e operar em controladores de domínio. O ToddyCat também tem tentado obter tokens de acesso diretamente da memória em organizações que utilizam o Microsoft 365, utilizando uma ferramenta chamada SharpTokenFinder. Apesar de enfrentar dificuldades em algumas tentativas, o grupo continua a desenvolver suas técnicas para acessar correspondências corporativas de forma furtiva.

Especialistas em cibersegurança alertam para um aumento significativo de ataques de phishing direcionados a usuários das agendas do Google Workspace e Microsoft 365. Esses ataques, conhecidos como ICS phishing, utilizam convites falsos para eventos de calendário, que podem contornar as medidas de segurança das empresas. Mesmo que um e-mail com o convite seja colocado em quarentena, o evento ainda aparece na agenda do usuário, aumentando o risco de cliques em links maliciosos. Os cibercriminosos utilizam táticas como anexar QR Codes que redirecionam para malwares ou solicitar que a vítima ligue para números de telefone suspeitos. Para proteger suas contas, recomenda-se que os usuários ajustem as configurações de segurança de suas agendas, como permitir apenas convites de remetentes conhecidos e ativar a autenticação de dois fatores. A situação é preocupante, pois a visibilidade dos convites maliciosos na agenda pode levar a infecções de malware e roubo de credenciais.

Uma nova vulnerabilidade no Microsoft 365 Copilot foi descoberta, permitindo que atacantes enganem o assistente de IA para acessar e vazar dados sensíveis de e-mails corporativos. Pesquisadores identificaram que, ao ocultar instruções secretas dentro de um documento do Office, os atacantes podem forçar o Copilot a buscar e codificar e-mails recentes, empacotando-os em um diagrama malicioso gerado pelo Mermaid. Quando um usuário clica no diagrama, os e-mails codificados são enviados para um servidor controlado pelo atacante.

Uma nova investigação da equipe de pesquisa de ameaças da Sekoia.io trouxe à tona a função do campo UserAuthenticationMethod nos logs de auditoria do Microsoft 365. Este campo, que antes era uma incógnita, é na verdade um bitfield que representa diferentes métodos de autenticação, permitindo uma análise mais clara dos eventos de login na plataforma. A pesquisa revelou que valores numéricos como 16, 272 ou 33554432 correspondem a métodos específicos de autenticação, como ‘Senha na Nuvem’ e ‘Login sem Senha’. Essa descoberta é crucial para analistas de segurança, pois permite monitorar a adoção de métodos de autenticação mais seguros e identificar fraquezas nas práticas de login. A equipe da Sekoia conseguiu mapear esses métodos ao correlacionar logs do Microsoft 365 com logs de login do Microsoft Entra ID, decifrando a lógica binária por trás dos valores. A decodificação do bitfield não só fecha uma lacuna significativa na visibilidade para os respondentes a incidentes, mas também destaca a evolução contínua das tecnologias de autenticação da Microsoft, com bits ainda não mapeados indicando futuras inovações. Essa pesquisa é um chamado para que os defensores contribuam com novas descobertas, fortalecendo o entendimento coletivo sobre a telemetria de autenticação do Microsoft 365.

Pesquisadores da Sublime Security alertaram sobre um novo golpe de phishing que utiliza falsas ofertas de emprego no Google para roubar credenciais de usuários do Microsoft 365 e Google Workspace. Os e-mails fraudulentos, que imitam comunicações do Google Careers, começam com mensagens que perguntam se a vítima está disponível para uma conversa sobre uma vaga. Os golpistas têm como alvo especialmente contas de e-mail corporativas, filtrando alvos que não pertencem ao ambiente profissional.

A Microsoft está investigando uma série de interrupções que afetaram o acesso ao Microsoft 365, com a terceira queda ocorrendo na última semana. O problema, que impactou usuários em diversas regiões, foi classificado como uma falha na central administrativa, uma categorização que indica problemas significativos na experiência do usuário. Durante os incidentes, aplicativos como Microsoft Teams e Exchange Online foram os mais afetados, com dificuldades de autenticação e acesso. Na quarta-feira (8), a interrupção impediu o uso do Teams e do Exchange Online, enquanto na quinta-feira (9), problemas na rede Azure Front Door resultaram em falhas de acesso em regiões como Europa, Ásia e Oriente Médio. Embora os serviços já tenham sido restaurados, a Microsoft ainda está analisando as causas e recomenda que os usuários que enfrentam problemas entrem em contato com o suporte. Este não é o primeiro incidente, já que falhas semelhantes ocorreram em setembro, afetando o acesso a e-mails e calendários devido a bugs no código. A situação levanta preocupações sobre a confiabilidade do serviço e a necessidade de soluções permanentes para evitar novas interrupções.

A Microsoft está investigando um bug que causa falhas no cliente de e-mail clássico do Outlook, afetando usuários do Microsoft 365 que utilizam o software em sistemas Windows. O problema impede o acesso ao serviço e, até o momento, a única solução disponível é através do suporte técnico da Microsoft, especificamente do Exchange Online. Os usuários afetados recebem uma mensagem de erro informando que o Outlook não pôde ser aberto devido a uma falha na autenticação da conta Exchange. A empresa recomenda que os usuários abram um chamado no portal de administrador do Microsoft 365 para que a equipe do Exchange Online possa solicitar uma correção. Além disso, a Microsoft sugere que os usuários façam uma captura de erro utilizando o proxy Fiddler, buscando pelo código de erro “LID: 49586 - Authentication concurrency limit is reached”. Enquanto a solução definitiva não é disponibilizada, a empresa orienta o uso do novo Outlook para Windows ou do Acesso Web do Outlook (OWA). Outras soluções temporárias incluem iniciar o Outlook em modo de segurança, criar um novo perfil e reparar arquivos de dados do Outlook. A situação é crítica, pois o bug afeta a produtividade dos usuários e a Microsoft já enfrentou problemas semelhantes anteriormente, relacionados a instabilidades em seus servidores.

A Unidade de Crimes Digitais da Microsoft, em colaboração com a Cloudflare, desmantelou uma rede de phishing conhecida como RaccoonO365, que operava um kit de ferramentas de phishing como serviço (Phaas). Desde julho de 2024, essa rede foi responsável pelo roubo de mais de 5.000 credenciais do Microsoft 365 em 94 países. A operação, que envolveu a apreensão de 338 domínios, foi realizada com uma ordem judicial do Distrito Sul de Nova York e visou interromper a infraestrutura técnica utilizada pelos criminosos. O RaccoonO365 é comercializado sob um modelo de assinatura, permitindo que até mesmo indivíduos com pouca experiência técnica realizem ataques em larga escala. Os ataques frequentemente imitam marcas confiáveis, como Microsoft e Adobe, e utilizam técnicas avançadas para contornar proteções de autenticação multifatorial. A Microsoft identificou Joshua Ogundipe, um indivíduo baseado na Nigéria, como o principal responsável pela operação, que arrecadou mais de $100.000 em criptomoedas. A Cloudflare, por sua vez, destacou que a desativação dos domínios visa aumentar os custos operacionais dos criminosos e enviar um aviso a outros atores maliciosos. Após a ação, os operadores do RaccoonO365 anunciaram mudanças em sua infraestrutura, indicando que a luta contra o cibercrime continua em evolução.

Recentemente, pesquisadores da ReliaQuest identificaram uma nova técnica de phishing que utiliza ferramentas de cliente HTTP, como Axios, em conjunto com a funcionalidade Direct Send da Microsoft. Essa combinação tem permitido que atacantes formem um ‘pipeline de ataque altamente eficiente’, resultando em um aumento de 241% na atividade do agente de usuário Axios entre junho e agosto de 2025. As campanhas de phishing têm se aproveitado do Direct Send para simular usuários confiáveis e garantir que suas mensagens evitem os gateways de segurança, alcançando uma taxa de sucesso de 70% em algumas operações. Os ataques visam principalmente executivos e gerentes de setores como finanças e saúde, mas rapidamente se expandiram para todos os usuários. Os criminosos utilizam Axios para interceptar e modificar requisições HTTP, capturando tokens de sessão e códigos de autenticação multifatorial em tempo real. Além disso, os e-mails fraudulentos frequentemente contêm documentos PDF com QR codes maliciosos que redirecionam para páginas de login falsas, facilitando o roubo de credenciais. Para mitigar esses riscos, as organizações devem considerar desabilitar o Direct Send, implementar políticas de anti-spoofing e treinar funcionários para reconhecer e-mails de phishing.

A TP-Link lançou atualizações de firmware para corrigir duas vulnerabilidades críticas em seus roteadores de pequeno escritório e home office (SOHO), especificamente nos modelos Archer C7 e TL-WR841N/ND. As falhas, identificadas como CVE-2025-50224 e CVE-2025-9377, foram exploradas por um grupo de ameaças cibernéticas chinês conhecido como Quad7, que utilizou um botnet para realizar ataques de password-spraying contra contas do Microsoft 365. A CVE-2025-50224 é uma vulnerabilidade de bypass de autenticação com severidade média (6.5/10), enquanto a CVE-2025-9377 é uma vulnerabilidade de execução remota de comando (RCE) com severidade alta (8.6/10). Apesar de os roteadores estarem em status de fim de vida (EoL), a gravidade das falhas levou a TP-Link a emitir atualizações. A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) também emitiu avisos sobre essas vulnerabilidades, incluindo a CVE-2025-9377 em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), dando um prazo de três semanas para que agências aplicassem os patches ou substituíssem o hardware. A situação é alarmante, pois qualquer usuário de roteadores afetados está em risco, e muitos provedores de serviços de internet (ISPs) têm distribuído esses dispositivos.

Pesquisadores da Amazon identificaram e neutralizaram uma tentativa de invasão ao Microsoft 365, realizada pelo grupo de hackers conhecido como Midnight Blizzard, ou APT29, que é apoiado pelo governo russo. Utilizando uma técnica chamada Oásis, os cibercriminosos replicaram sites que os alvos costumam acessar, facilitando o roubo de senhas e a autorização de dispositivos maliciosos. A investigação revelou que o grupo comprometeu diversos sites legítimos e ocultou códigos maliciosos em codificação base64. Os hackers redirecionaram cerca de 10% dos visitantes de domínios afetados para páginas que imitavam a verificação do Cloudflare, levando os usuários a um fluxo de autenticação falso da Microsoft. Após a descoberta, a Amazon isolou as instâncias EC2 utilizadas pelos criminosos e colaborou com a Cloudflare e a Microsoft para interromper as atividades. A empresa recomenda que os usuários verifiquem autorizações de dispositivos e ativem a autenticação de dois fatores para aumentar a segurança. Embora a campanha não tenha comprometido a infraestrutura da Amazon, a situação destaca a necessidade de vigilância constante contra ataques cibernéticos.

No dia 29 de agosto de 2025, a Amazon anunciou a interrupção de uma campanha de phishing conhecida como “watering hole”, atribuída ao grupo de hackers APT29, vinculado à inteligência russa. Essa campanha utilizou sites comprometidos para redirecionar visitantes a uma infraestrutura maliciosa, enganando usuários a autorizarem dispositivos controlados pelos atacantes através do fluxo de autenticação de código de dispositivo da Microsoft. APT29, também conhecido como Cozy Bear, tem sido ativo em ataques direcionados a entidades ucranianas e na coleta de dados sensíveis. Recentemente, o grupo adotou métodos de phishing, como o phishing de código de dispositivo, para obter acesso não autorizado a contas do Microsoft 365. A campanha da Amazon destacou a evolução das táticas do APT29, que agora inclui técnicas de evasão, como a codificação Base64 para ocultar código malicioso. Apesar das tentativas do grupo de mudar para novas infraestruturas, a equipe de inteligência da Amazon continuou a rastrear e interromper suas operações, evidenciando a persistência da ameaça. O ataque redirecionou cerca de 10% dos visitantes de sites legítimos para domínios controlados pelos atacantes, que imitavam páginas de verificação da Cloudflare, visando coletar códigos de dispositivo legítimos dos usuários.

Um novo golpe de phishing foi identificado, utilizando links legítimos do site office.com redirecionados por meio de publicidade falsa para roubar credenciais de usuários do Microsoft 365. A técnica, descoberta pela Push Security, consiste em evitar a detecção de endereços maliciosos e contornar a verificação multifator (MFA) da Microsoft. O ataque começa quando um usuário, ao buscar por ‘Office 265’ (um erro de digitação), clica em um link patrocinado que parece legítimo. Inicialmente, o usuário é redirecionado para o site oficial da Microsoft, o que dificulta a identificação do golpe. Os hackers criaram um domínio próprio que redireciona para uma página de phishing, que, embora não contenha elementos maliciosos visíveis, é projetada para enganar sistemas de detecção. A Push Security alerta que os alvos não são específicos, sugerindo que os hackers estão testando a eficácia dessa nova abordagem. Para se proteger, recomenda-se que empresas verifiquem os parâmetros de redirecionamento de anúncios que levam ao office.com e que usuários evitem clicar em links publicitários, optando por resultados orgânicos.