Pesquisadores de segurança cibernética estão chamando a atenção para uma campanha ativa de phishing de código de dispositivo que tem como alvo identidades do Microsoft 365 em mais de 340 organizações nos EUA, Canadá, Austrália, Nova Zelândia e Alemanha.
A atividade, segundo a Caçadora, era visto pela primeira vez em 19 de fevereiro de 2026, com casos subsequentes aparecendo em ritmo acelerado desde então. Notavelmente, a campanha aproveita os redirecionamentos de Workers da Cloudflare com sessões capturadas redirecionadas para infraestrutura hospedada em uma oferta de plataforma como serviço (PaaS) chamada Railway, transformando-a efetivamente em um mecanismo de coleta de credenciais.
Construção, organizações sem fins lucrativos, imobiliário, manufatura, serviços financeiros, saúde, jurídico e governo são alguns dos setores proeminentes visados como parte da campanha.
“O que também torna esta campanha incomum não são apenas as técnicas de phishing de código de dispositivo envolvidas, mas a variedade de técnicas observadas”, disse a empresa. “Iscas de licitação de construção, geração de código de página de destino, representação de DocuSign, notificações de correio de voz e abuso de páginas do Microsoft Forms estão atingindo o mesmo grupo de vítimas por meio da mesma infraestrutura IP da Railway.com.”
O phishing de código de dispositivo refere-se a uma técnica que explora o Fluxo de autorização de dispositivo OAuth para conceder ao invasor tokens de acesso persistente, que podem então ser usados para assumir o controle das contas das vítimas. O que é significativo nesse método de ataque é que os tokens permanecem válidos mesmo após a redefinição da senha da conta.
Em alto nível, o ataque funciona da seguinte maneira –
- O agente da ameaça solicita um código de dispositivo do provedor de identidade (por exemplo, Microsoft Entra ID) por meio da API de código de dispositivo legítimo.
- O serviço responde com um código de dispositivo.
- O ator da ameaça cria um e-mail persuasivo e o envia para a vítima, instando-a a visitar uma página de login (“microsoft(.)com/devicelogin”) e insira o código do dispositivo.
- Depois que a vítima insere o código fornecido, juntamente com suas credenciais e o código de autenticação de dois fatores (2FA), o serviço cria um token de acesso e um token de atualização para o usuário.
“Depois que o usuário é vítima do phishing, sua autenticação gera um conjunto de tokens que agora residem no endpoint da API do token OAuth e podem ser recuperados fornecendo o código de dispositivo correto”, explicou Huntress. “O invasor, é claro, conhece o código do dispositivo porque ele foi gerado pela solicitação cURL inicial para a API de login do código do dispositivo.”
“E embora esse código seja inútil por si só, uma vez que a vítima tenha sido enganada para se autenticar, os tokens resultantes agora pertencem a qualquer pessoa que saiba qual código do dispositivo foi usado na solicitação original”.
O uso de phishing de código de dispositivo foi observado pela primeira vez pela Microsoft e Volexity em fevereiro de 2025, com ondas subsequentes documentadas pela Amazon Threat Intelligence e Proofpoint. Vários grupos alinhados com a Rússia, rastreados como Storm-2372, APT29, UTA0304, UTA0307 e UNK_AcademicFlare, foram atribuídos a estes ataques.
A técnica é insidiosa, principalmente porque aproveita a infraestrutura legítima da Microsoft para executar o fluxo de autenticação do código do dispositivo, não dando aos usuários motivos para suspeitar que algo possa estar errado.
Na campanha detectada pela Huntress, o abuso de autenticação origina-se de um pequeno cluster de endereços IP da Railway.com, com três deles respondendo por cerca de 84% dos eventos observados –
- 162.220.234(.)41
- 162.220.234(.)66
- 162.220.232(.)57
- 162.220.232(.)99
- 162.220.232(.)235
O ponto de partida do ataque é um e-mail de phishing que envolve URLs maliciosos em URLs legítimos. serviços de redirecionamento de fornecedores de segurança da Cisco, Trend Micro e Mimecast para contornar filtros de spam e acionar uma cadeia de redirecionamento multi-hop apresentando uma combinação de sites comprometidos, Cloudflare Workers e Vercel como intermediários antes de levar a vítima ao destino final.
“Os locais de destino observados solicitam que a vítima prossiga para o endpoint legítimo de autenticação do código do dispositivo Microsoft e insira um código fornecido para ler alguns arquivos”, disse Huntress. “O código é renderizado diretamente na página quando a vítima chega.”
“Esta é uma iteração interessante da tática, já que, normalmente, o adversário deve produzir e depois fornecer o código à vítima. Ao renderizar o código diretamente na página, provavelmente por alguma automação de geração de código, a vítima recebe imediatamente o código e o pretexto para o ataque.”
A página inicial também vem com um “Continuar para a Microsoft” que, quando clicado, exibe uma janela pop-up que renderiza o ponto de extremidade legítimo de autenticação da Microsoft (“microsoft(.)com/devicelogin”).
Quase todos os sites de phishing de código de dispositivo foram hospedados em uma instância de trabalhadores(.)dev da Cloudflare, ilustrando como os atores da ameaça estão aproveitando a confiança associada ao serviço em ambientes corporativos para contornar os filtros de conteúdo da web. Para combater a ameaça, os usuários são aconselhados a verificar os logs de login para procurar logins de IP da ferrovia, revogar todos os tokens de atualização dos usuários afetados e bloquear tentativas de autenticação da infraestrutura da ferrovia, se possível.
Desde então, a Huntress atribuiu o ataque Railway a uma nova plataforma de phishing como serviço (PhaaS) conhecida como EvilTokens, que estreou no mês passado no Telegram. Além de ferramentas de publicidade para enviar e-mails de phishing e contornar filtros de spam, o painel do EvilTokens fornece aos clientes links de redirecionamento abertos para domínios vulneráveis para ocultar os links de phishing.
“Além do rápido crescimento na funcionalidade da ferramenta, a equipe EvilTokens criou uma equipe completa de suporte 24 horas por dia, 7 dias por semana e um canal de feedback de suporte”, disse a empresa. “Eles também têm feedback dos clientes.”
A divulgação ocorre no momento em que a Unidade 42 da Palo Alto Networks também avisado de uma campanha semelhante de phishing de código de dispositivo, destacando o uso de técnicas anti-bot e anti-análise pelo ataque para passar despercebido, enquanto exfiltrava cookies do navegador para o agente da ameaça no carregamento da página. A primeira observação da campanha remonta a 18 de fevereiro de 2026.
A página de phishing “desativa a funcionalidade de clique com o botão direito, seleção de texto e operações de arrastar”, disse a empresa, acrescentando que “bloqueia atalhos de teclado para ferramentas de desenvolvedor (F12, Ctrl + Shift + I/C/J) e visualização de fonte (Ctrl + U)” e “detecta ferramentas ativas de desenvolvedor utilizando uma heurística de tamanho de janela, que subsequentemente inicia um loop infinito de depurador”.
Atualizar
Em uma análise de acompanhamento publicada em 30 de março de 2026, a Sekoia descrito EvilTokens como um novo kit de phishing de código de dispositivo da Microsoft pronto para uso, vendido sob um modelo PhaaS desde meados de fevereiro de 2026. Ele também oferece aos clientes páginas de phishing auto-hospedadas que incluem –
- Uma página isca que se faz passar por um serviço ou aplicativo confiável da Microsoft (por exemplo, Adobe Acrobat, DocuSign ou SharePoint) como parte de e-mails de phishing contendo iscas financeiras, de reuniões, logística ou relacionadas à folha de pagamento.
- Um código de verificação para o usuário copiar.
- Instruções para concluir a verificação de identidade via Microsoft.
- Um botão “Continuar para a Microsoft” que redireciona para a página legítima de login do dispositivo Microsoft.
Assim, quando um usuário copia o código de verificação e clica no botão “Continuar para a Microsoft”, a página de phishing abre a página de login do dispositivo legítimo da Microsoft em uma janela pop-up. Depois que o código de verificação for inserido, eles serão redirecionados para a página de login de autenticação padrão da Microsoft. Assim que o login for concluído, o invasor obtém acesso à conta da vítima para o serviço visado.
As campanhas que utilizam o serviço PhaaS têm como alvo organizações nas Américas do Norte, Central e do Sul, Europa, Oriente Médio, Ásia e Oceania. Entre os mais afetados estão os EUA, a Austrália, o Canadá, a França, a Índia, a Suíça e os Emirados Árabes Unidos. O amplo alcance e a diversidade destas campanhas refletem a rápida adoção dos EvilTokens, acrescentou Sekoia.
“EvilTokens fornece um kit de phishing de código de dispositivo Microsoft pronto para uso e uma gama de recursos avançados para conduzir ataques BEC, incluindo armamento de acesso, coleta de e-mail, recursos de reconhecimento, uma interface de webmail integrada e automação alimentada por IA”, disse a empresa francesa de segurança cibernética.
“O EvilTokens PhaaS opera por meio de bots completos no Telegram e melhora continuamente seu kit de phishing com novos recursos. Em um futuro próximo, a operadora pretende estender o suporte às páginas de phishing do Gmail e Okta.”
(A história foi atualizada após publicação em 31 de março de 2026, para incluir detalhes adicionais sobre EvilTokens.)
Deseja saber mais sobre Segurança Clique Aqui!
Perito em Computação Forense e Crimes Cibernéticos
Investigação Digital | Laudos Técnicos | Resposta a Incidentes
Bacharel em Sistemas da Informação, Certificado Microsoft Azure IA e MOS. Trabalho como Administrador de Redes, Firewall e Servidores Windows e Linux!
Minhas atividades favoritas são: Caminhar, Fazer Trilhas, Natureza, Insetos e claro ler sobre Tecnologia.