Oauth

Em fevereiro de 2026, uma plataforma de phishing chamada EvilTokens foi lançada, comprometendo mais de 340 organizações que utilizam Microsoft 365 em cinco países em apenas cinco semanas. O ataque, conhecido como consent phishing, ocorre quando os usuários são induzidos a inserir um código em um site legítimo, acreditando que estão completando um desafio de autenticação multifatorial (MFA). Na verdade, eles entregam um token de atualização válido, que permite acesso a suas caixas de entrada, calendários e contatos, sem que o atacante precise de uma senha ou que um alerta de MFA seja acionado.

O kit de phishing Tycoon2FA, que já havia sido interrompido por uma operação internacional de aplicação da lei em março, foi rapidamente reestruturado e voltou a operar em níveis normais. Recentemente, foi identificado em uma campanha que utiliza fluxos de autorização de dispositivo OAuth 2.0 para comprometer contas do Microsoft 365. O ataque de phishing com código de dispositivo envolve o envio de um pedido de autorização de dispositivo ao provedor de serviços, enganando a vítima para que insira um código gerado em uma página de login legítima da Microsoft. Isso permite que o atacante registre um dispositivo malicioso com a conta da vítima, obtendo acesso irrestrito a dados e serviços, como e-mails e armazenamento em nuvem. A Push Security relatou um aumento de 37 vezes nesse tipo de ataque este ano, com suporte de pelo menos dez plataformas de phishing como serviço (PhaaS). O Tycoon2FA também implementou camadas adicionais de ofuscação para dificultar a detecção. Especialistas recomendam desabilitar o fluxo de código de dispositivo OAuth quando não necessário e monitorar logs de autenticação para mitigar esses riscos.

Um novo estudo destaca a vulnerabilidade das organizações em relação aos tokens OAuth, que não expiram e não são monitorados adequadamente. Com a crescente adoção de ferramentas de IA e automação, muitos funcionários conectam aplicativos diretamente ao Google ou Microsoft, gerando tokens persistentes que podem ser explorados por atacantes. O incidente com a Drift, onde um ator malicioso acessou dados de mais de 700 organizações usando tokens OAuth legítimos, exemplifica a gravidade do problema. A pesquisa revela que 80% dos líderes de segurança consideram os tokens OAuth não gerenciados um risco significativo, mas 45% das organizações não monitoram esses acessos. Para mitigar esse risco, é essencial implementar um monitoramento contínuo do comportamento dos aplicativos conectados, avaliando não apenas as permissões concedidas, mas também as ações realizadas ao longo do tempo. Ferramentas como o OAuth Threat Remediation Agent da Material Security oferecem uma solução para essa lacuna, permitindo que as empresas identifiquem e revoguem rapidamente acessos de alto risco.

Um novo tipo de ataque, denominado ConsentFix v3, está circulando em fóruns de hackers como uma técnica aprimorada que automatiza ataques contra o Microsoft Azure. A versão original foi apresentada pela Push Security em dezembro passado, como uma variação do ClickFix, focada em ataques de phishing via OAuth. O ConsentFix v3 mantém a ideia central de abusar do fluxo de autorização OAuth2, mas agora incorpora automação e escalabilidade. O ataque começa com a verificação da presença do Azure no ambiente alvo, seguido pela coleta de dados de funcionários para facilitar a impersonificação. Os atacantes criam várias contas em serviços como Outlook e Cloudflare para suportar operações de phishing e exfiltração de dados. Uma plataforma chamada Pipedream desempenha um papel crucial, atuando como um endpoint de webhook que recebe o código de autorização da vítima e automatiza a troca por tokens de acesso. O fluxo de ataque é finalizado com uma página de phishing que imita a interface do Microsoft/Azure, enganando a vítima a interagir com um URL localhost. Os tokens obtidos permitem que os atacantes acessem recursos da conta comprometida. Apesar de o ConsentFix v3 ainda não ter sido amplamente adotado, as implicações de segurança são significativas, especialmente para organizações que utilizam serviços da Microsoft.

O uso não autorizado de ferramentas de inteligência artificial (IA) nas empresas, especialmente aquelas que utilizam modelos de linguagem, tem gerado preocupações legítimas. Um caso recente, o vazamento na Vercel, exemplifica os riscos associados à integração de aplicativos de IA em plataformas corporativas como Google Workspace. Quando um funcionário conecta um aplicativo de IA, cria-se uma ponte programática entre o ambiente da empresa e um terceiro, que pode ser explorada em caso de comprometimento desse terceiro. No caso da Vercel, um funcionário integrou um aplicativo da Context.ai, que não era cliente registrado, permitindo que, após uma violação de segurança, os atacantes acessassem dados sensíveis da empresa. Além disso, o artigo destaca que o problema não se limita a aplicativos de IA, mas se estende a qualquer integração OAuth não gerenciada, que tem se tornado um alvo frequente para atacantes. Para mitigar esses riscos, recomenda-se que as empresas adotem uma abordagem de consentimento padrão-negativa para integrações, realizem auditorias regulares e busquem visibilidade sobre todas as conexões OAuth em uso.

A Vercel, empresa responsável pelo framework Next.js, anunciou a descoberta de um novo conjunto de contas de clientes comprometidas em um incidente de segurança que permitiu acesso não autorizado a seus sistemas internos. A investigação revelou que algumas contas já apresentavam indícios de comprometimento anterior, possivelmente devido a engenharia social ou malware. O ataque inicial foi atribuído a uma violação na Context.ai, que resultou no controle da conta Google Workspace de um funcionário da Vercel, permitindo que o invasor acessasse o ambiente da Vercel. A análise adicional indicou que um funcionário da Context.ai foi infectado pelo malware Lumma Stealer, sugerindo que esse evento pode ter sido o ponto de partida para a cadeia de ações maliciosas. A Vercel notificou os clientes afetados, mas não divulgou o número exato de contas comprometidas. A situação destaca os riscos associados ao uso de integrações OAuth, que, embora úteis, podem ser exploradas por atacantes para evitar controles de segurança. A velocidade e a capacidade dos atacantes de explorar ambientes internos antes da detecção representam um desafio significativo para as equipes de defesa.

A Vercel, plataforma de desenvolvimento em nuvem, revelou um incidente de segurança após a alegação de um grupo de hackers de que havia invadido seus sistemas e estava vendendo dados roubados. A empresa, conhecida pelo desenvolvimento do Next.js, informou que um número limitado de clientes foi afetado por um acesso não autorizado a sistemas internos. Embora os serviços da Vercel não tenham sido impactados, a empresa está colaborando com os clientes afetados e recomenda que revisem variáveis de ambiente e utilizem recursos de segurança disponíveis. A investigação revelou que a violação se originou de uma ferramenta de IA de terceiros, especificamente uma aplicação OAuth do Google Workspace. A Vercel alertou administradores do Google Workspace para verificar a aplicação identificada. O hacker, que se autodenomina ‘ShinyHunters’, afirmou estar vendendo chaves de acesso, código-fonte e dados de banco de dados, além de informações de funcionários da Vercel. A situação destaca a importância da segurança em plataformas amplamente utilizadas por desenvolvedores e a necessidade de vigilância constante contra ameaças cibernéticas.

Pesquisadores de cibersegurança alertam sobre uma campanha ativa de phishing por código de dispositivo que está atacando identidades do Microsoft 365 em mais de 340 organizações nos EUA, Canadá, Austrália, Nova Zelândia e Alemanha. Identificada pela Huntress em 19 de fevereiro de 2026, a campanha utiliza redirecionamentos do Cloudflare Workers e uma infraestrutura hospedada na Railway, transformando-a em um motor de coleta de credenciais. Os setores mais afetados incluem construção, serviços financeiros, saúde e governo. A técnica de phishing por código de dispositivo explora o fluxo de autorização OAuth, permitindo que os atacantes obtenham tokens de acesso persistentes, mesmo após a redefinição de senhas. O ataque começa com um e-mail de phishing que leva a uma página de login legítima da Microsoft, onde a vítima insere seu código de dispositivo e credenciais. A Huntress também atribui a campanha a uma nova plataforma de phishing como serviço chamada EvilTokens, que oferece ferramentas para enviar e-mails de phishing e contornar filtros de spam. A Palo Alto Networks também relatou uma campanha semelhante, destacando o uso de técnicas anti-análise para evitar detecções.

Pesquisadores da Microsoft Defender alertam sobre uma nova técnica de ataque que abusa do mecanismo de redirecionamento legítimo do OAuth para contornar as proteções contra phishing em e-mails e navegadores. Os ataques têm como alvo organizações governamentais e do setor público, utilizando links de phishing que induzem os usuários a autenticar-se em aplicativos maliciosos. Os criminosos criam aplicativos OAuth maliciosos em um tenant que controlam, configurando um URI de redirecionamento que aponta para sua infraestrutura. Mesmo que os URLs pareçam legítimos, eles são manipulados para forçar redirecionamentos silenciosos, levando os usuários a páginas de phishing. Em alguns casos, os atacantes utilizam frameworks como EvilProxy para interceptar cookies de sessão válidos, burlando a autenticação multifator (MFA). Além disso, os atacantes podem entregar arquivos ZIP maliciosos que, ao serem abertos, executam scripts PowerShell para realizar reconhecimento e carregar cargas úteis finais. A Microsoft recomenda que as organizações reforcem as permissões para aplicativos OAuth e implementem políticas de Acesso Condicional para mitigar esses riscos.

A Microsoft alertou sobre novas campanhas de phishing que utilizam e-mails maliciosos e mecanismos de redirecionamento de URLs OAuth para contornar defesas tradicionais de segurança em e-mails e navegadores. Essas campanhas visam organizações governamentais e do setor público, redirecionando as vítimas para infraestruturas controladas pelos atacantes sem a necessidade de roubar tokens de autenticação. Os ataques se aproveitam do comportamento padrão do OAuth, permitindo que os invasores criem URLs que parecem benignas, mas que levam a páginas maliciosas.

Pesquisadores de cibersegurança revelaram detalhes sobre uma nova suíte de phishing chamada Starkiller, que utiliza páginas de login legítimas para contornar as proteções de autenticação multifator (MFA). O grupo de ameaças Jinkusu promove essa plataforma como um serviço de cibercrime, permitindo que usuários escolham marcas para imitar ou insiram URLs reais. A técnica de proxy de páginas de login permite que os atacantes atualizem suas páginas de phishing em tempo real, sem a necessidade de modificar templates. Isso é feito através de uma instância do Chrome sem interface gráfica, que atua como um proxy reverso entre o usuário e o site legítimo, capturando todas as entradas do usuário. Além disso, a evolução de kits de phishing, como o 1Phish, mostra um aumento na sofisticação das ameaças, com a capacidade de capturar códigos de autenticação de um único uso (OTPs) e implementar lógica de impressão digital do navegador para filtrar bots. As campanhas de phishing estão se tornando mais complexas, com ataques direcionados a empresas e instituições financeiras, utilizando técnicas avançadas para evitar a detecção. Essa situação representa um risco significativo para a segurança cibernética, especialmente para empresas que dependem de MFA para proteger suas contas.

A Salesforce emitiu um alerta sobre atividades incomuns relacionadas a aplicativos publicados pela Gainsight que estão conectados à sua plataforma. A investigação preliminar sugere que essa atividade pode ter possibilitado o acesso não autorizado a dados de clientes da Salesforce através da conexão com esses aplicativos. Como medida de precaução, a empresa revogou todos os tokens de acesso e atualização associados a esses aplicativos e os removeu temporariamente do AppExchange. Embora a Salesforce não tenha revelado quantos clientes foram afetados, informou que todos foram notificados. A empresa enfatizou que não há indícios de que a vulnerabilidade tenha origem na plataforma Salesforce, mas sim na conexão externa dos aplicativos. O analista Austin Larsen, do Google Threat Intelligence Group, classificou a situação como uma campanha emergente, possivelmente ligada ao grupo de ameaças ShinyHunters, que já havia realizado ataques semelhantes anteriormente. Organizações são aconselhadas a revisar aplicativos de terceiros conectados à Salesforce e a revogar tokens de acesso para aplicações suspeitas.

Em 2025, o uso de aplicações de software como serviço (SaaS) é comum entre as empresas, mas a segurança dessas plataformas depende de pequenos dados chamados tokens, como tokens de acesso OAuth e chaves de API. O roubo de tokens tem se mostrado uma das principais causas de violações de segurança em ambientes SaaS, permitindo que cibercriminosos acessem sistemas sem a necessidade de senhas, mesmo contornando medidas como a autenticação multifator (MFA). Incidentes recentes, como os ataques à Slack e CircleCI, evidenciam como um único token comprometido pode resultar em acessos não autorizados e vazamentos de dados. A proliferação de SaaS, muitas vezes chamada de ‘SaaS sprawl’, contribui para a dificuldade em monitorar e gerenciar essas integrações, criando uma superfície de ataque não governada. Para mitigar esses riscos, as empresas devem adotar práticas de higiene de tokens, como manter um inventário de aplicativos OAuth, impor processos de aprovação para novas integrações e monitorar a atividade dos tokens. A falta de visibilidade e controle sobre tokens e integrações pode levar a consequências graves, tornando essencial que as equipes de segurança implementem medidas proativas para proteger suas infraestruturas SaaS.

Pesquisadores de cibersegurança descobriram uma campanha de phishing sofisticada que utiliza e-mails de notificação do GitHub para disseminar malware entre desenvolvedores de software. Os atacantes comprometem contas de bots do GitHub, enviando mensagens que imitam alertas legítimos de repositórios, conseguindo assim contornar filtros de e-mail avançados e direcionar suas ações a colaboradores de código aberto em diversas plataformas.

O ataque começa com o acesso não autorizado a contas de bots do GitHub, que têm permissão para gerar notificações automatizadas. Os vetores de comprometimento incluem ataques de phishing, uso de credenciais vazadas e exploração de tokens OAuth fracos. Após a invasão, os atacantes modificam as configurações dos bots para enviar e-mails de phishing que replicam a marca do GitHub, incluindo assinaturas DKIM válidas, o que dificulta a detecção.

A SolarWinds emitiu um aviso urgente em resposta a um incidente de violação de dados que afetou clientes da Salesforce, relacionado a tokens OAuth comprometidos da integração Salesloft Drift. Os atacantes conseguiram acessar informações sensíveis de várias contas da Salesforce, explorando uma falha no processo de autenticação OAuth. Embora a SolarWinds não utilize essa integração e, portanto, não tenha sido diretamente impactada, a empresa tratou o incidente como uma preocupação de segurança prioritária, reforçando seus protocolos internos. A investigação interna da SolarWinds confirmou que não havia tokens OAuth da Salesloft Drift em sua infraestrutura, e a empresa não encontrou evidências de acesso não autorizado. Para aumentar a segurança, a SolarWinds implementou ferramentas adicionais de monitoramento e está acelerando sua iniciativa de zero-trust, exigindo autenticação multifatorial em pontos de acesso críticos. O incidente destaca a necessidade de práticas de segurança vigilantes em todas as integrações na cadeia de suprimentos digital.

Na última semana, o incidente de segurança envolvendo a Salesloft e a Drift destacou a vulnerabilidade das integrações entre sistemas. Ataques direcionados resultaram no roubo de tokens OAuth, permitindo acesso a dados do Salesforce de várias empresas de tecnologia de grande porte. A Salesloft decidiu retirar temporariamente a Drift do ar para revisar a aplicação e aumentar a segurança do sistema. Entre as empresas afetadas estão Cloudflare, Google Workspace e Palo Alto Networks. Além disso, o artigo menciona outras ameaças ativas, como a exploração de uma vulnerabilidade no Sitecore, que permite execução remota de código, e um novo backdoor do grupo de hackers russo APT28, que visa usuários do Microsoft Outlook. O uso de inteligência artificial por hackers também foi destacado, com ferramentas como HexStrike AI sendo utilizadas para explorar falhas de segurança. O artigo enfatiza a importância de manter sistemas atualizados e monitorar vulnerabilidades ativas para evitar danos significativos.

A PagerDuty confirmou uma violação de segurança que permitiu o acesso não autorizado a contas do Salesforce, devido a uma vulnerabilidade na integração OAuth do aplicativo Drift da Salesloft. Embora as credenciais principais da PagerDuty não tenham sido comprometidas, a empresa desativou proativamente a integração para proteger os dados dos clientes. O incidente começou em 20 de agosto de 2025, quando a PagerDuty foi notificada sobre uma falha de segurança. Em 23 de agosto, a Salesloft confirmou que atacantes haviam explorado essa falha, permitindo o sequestro do processo de troca de tokens no fluxo de autorização OAuth 2.0. A PagerDuty tomou medidas imediatas, revogando todos os tokens de acesso ativos e realizando uma auditoria em seus logs do Salesforce. Apesar de não haver exposição de senhas ou credenciais da plataforma, dados de clientes armazenados no Salesforce podem ter sido revelados. A PagerDuty recomenda que os usuários verifiquem solicitações de dados e reforcem a autenticação multifatorial em contas críticas, dada a possibilidade de tentativas de phishing e engenharia social.

A Salesloft anunciou a desativação temporária do Drift, seu produto de chatbot, em resposta a um ataque cibernético em larga escala que comprometeu tokens de autenticação. O ataque, atribuído ao grupo de ameaças UNC6395, afetou mais de 700 organizações, incluindo grandes nomes como Google Workspace e Palo Alto Networks. O incidente começou em 8 de agosto de 2025 e se estendeu até pelo menos 18 de agosto de 2025, quando os atacantes utilizaram tokens OAuth roubados para acessar instâncias do Salesforce de clientes do Drift. A empresa está colaborando com parceiros de cibersegurança, como Mandiant e Coalition, para investigar e mitigar os danos. Como medida preventiva, a Salesforce desativou todas as integrações do Salesloft com sua plataforma. A Salesloft enfatizou que a segurança e a integridade dos dados dos clientes são suas principais prioridades e que o sistema será revisado para aumentar sua resiliência e segurança antes de ser reativado.

Recentemente, o Google revelou que uma série de ataques direcionados a instâncias do Salesforce por meio da plataforma Salesloft Drift é mais abrangente do que se pensava inicialmente. O Google Threat Intelligence Group (GTIG) e a Mandiant aconselharam todos os clientes do Salesloft Drift a considerarem todos os tokens de autenticação armazenados ou conectados à plataforma como potencialmente comprometidos. Os atacantes utilizaram tokens OAuth roubados para acessar e-mails de algumas contas do Google Workspace, especificamente aquelas integradas ao Salesloft Drift. Após a descoberta, o Google notificou os usuários afetados, revogou os tokens OAuth específicos e desativou a funcionalidade de integração entre o Google Workspace e o Salesloft Drift enquanto a investigação estava em andamento. A Salesloft, por sua vez, informou que a integração entre Salesforce e Drift foi temporariamente desativada, embora não haja evidências de atividade maliciosa nas integrações do Salesloft relacionadas ao incidente. Essa situação destaca a importância de revisar todas as integrações de terceiros conectadas ao Drift e de tomar medidas proativas para proteger as credenciais e sistemas conectados.

Um alerta foi emitido para organizações em todo o mundo após a divulgação de uma campanha de exfiltração de dados em larga escala, atribuída ao grupo de hackers UNC6395. O ataque, que começou em 8 de agosto de 2025, explorou tokens OAuth comprometidos do aplicativo Salesloft Drift para acessar e extrair informações sensíveis de instâncias do Salesforce. Os hackers conseguiram exportar grandes volumes de dados, incluindo informações de contas, usuários e oportunidades, além de buscar segredos valiosos como chaves de acesso da Amazon Web Services (AWS) e senhas em texto claro. A Salesloft confirmou que apenas clientes que integraram o Drift com o Salesforce foram afetados. Em resposta, a empresa revogou todos os tokens de acesso e a Salesforce removeu o aplicativo do AppExchange. As organizações afetadas foram notificadas diretamente. Especialistas recomendam que as empresas revisem seus ambientes Salesforce, revoguem e rotacionem chaves descobertas e ajustem as configurações de segurança para mitigar riscos futuros.

Uma campanha de roubo de dados em larga escala comprometeu a plataforma de automação de vendas Salesloft, permitindo que hackers acessassem tokens OAuth e de atualização associados ao agente de chat de inteligência artificial Drift. A atividade, atribuída ao grupo de ameaças UNC6395, ocorreu entre 8 e 18 de agosto de 2025, visando instâncias de clientes do Salesforce através de tokens OAuth comprometidos. Os atacantes exportaram grandes volumes de dados, possivelmente para coletar credenciais que poderiam ser usadas para comprometer ambientes das vítimas, incluindo chaves de acesso da Amazon Web Services (AWS) e tokens de acesso relacionados ao Snowflake. A Salesloft identificou a questão de segurança e revogou proativamente as conexões entre Drift e Salesforce, enquanto a Salesforce confirmou que um número restrito de clientes foi impactado. Especialistas destacam a disciplina operacional dos atacantes, que deletaram registros de consultas para cobrir seus rastros, sugerindo uma estratégia de ataque mais ampla que poderia afetar a cadeia de suprimentos de tecnologia. As organizações são aconselhadas a revisar logs, revogar chaves de API e realizar investigações adicionais para determinar a extensão da violação.