A Microsoft detalhou a large-scale phishing campaign que usou técnicas de múltiplas etapas para comprometer sessões de usuários e burlar a autenticação multifator, destacando uma crescente tendência para ataques baseados em tokens.
De acordo com a equipe de inteligência de ameaças da Microsoft, a campanha atingiu mais de 35.000 usuários em mais de 13.000 organizações em 26 países em um curto período entre 14 e 16 de abril de 2026. A maioria dos alvos estava localizada nos Estados Unidos, com setores como saúde, finanças e tecnologia fortemente afetados.
O ataque se baseou em uma isca de “código de conduta”, onde as vítimas recebiam e-mails de phishing solicitando que revisassem ou reconhecessem políticas relacionadas ao local de trabalho. Essas mensagens foram projetadas para parecer legítimas e distribuídas em múltiplas ondas para aumentar a eficácia.
Uma vez que um alvo era engajado, a operação se desenrolava em várias etapas. As vítimas eram redirecionadas por uma cadeia de infraestrutura maliciosa antes de, por fim, caírem em uma página de phishing projetada para capturar credenciais. No entanto, a campanha não parou apenas no roubo de senhas. Em vez disso, os atacantes usaram técnicas de adversário no meio para interceptar dados de autenticação em tempo real.
Esse método permitia que atores ameaçadores obtivessem tokens de sessão, possibilitando o acesso à conta sem precisar novamente de credenciais. Esse roubo de tokens é particularmente significativo porque pode contornar as proteções de autenticação multifator, que normalmente são projetadas para evitar logins não autorizados.
A Microsoft observou que a campanha utilizou infraestrutura de proxy reverso para ficar entre os usuários e os serviços legítimos de login. Essa configuração permitiu que atacantes capturassem cookies de autenticação e mantivessem acesso persistente mesmo após o comprometimento inicial.
O design de múltiplas etapas também incluía táticas de evasão. Infraestrutura de ataque adaptada dinamicamente às interações do usuário e verificações ambientais, reduzindo a probabilidade de detecção por ferramentas de segurança. Em alguns casos, o conteúdo de phishing era exibido seletivamente com base nas condições de direcionamento, limitando a exposição a pesquisadores e defesas automatizadas.
Pesquisadores enfatizaram que a campanha não focou em um único setor, mas sim em uma ampla gama de organizações. Essa abordagem ampla reflete uma mudança para operações de phishing escaláveis que priorizam volume e automação em detrimento de ataques altamente direcionados.
Os resultados destacam uma tendência mais ampla nas ameaças cibernéticas. Os atacantes estão cada vez mais indo além do roubo de credenciais, passando a sequestro de sessões e ataques baseados em identidade. Nesses cenários, defesas tradicionais, como resetagem de senhas, podem não ser suficientes, já que tokens roubados podem continuar a fornecer acesso se não forem revogados.
A Microsoft aconselha as organizações a fortalecerem as medidas de proteção de identidade, incluindo monitoramento de atividades suspeitas de sessões, implementação de políticas de acesso condicional e garantia de revogação rápida de tokens em resposta a possíveis comprometimentos.
A campanha demonstra como as operações de phishing continuam a evoluir, combinando engenharia social com infraestrutura avançada para burlar os controles de segurança estabelecidos e manter acesso de longo prazo a contas comprometidas.