Há poucos dias, pesquisadores da Microsoft puseram em cima da mesa um caso que deveria acender os alarmes em qualquer equipe de segurança: uma campanha coordenada que combina phishing, suplantação de identidade dentro do e-mail e uma técnica mais sofisticada conhecida como adversário‐no-médio (AitM), dirigida especialmente contra organizações do setor energético. O notável não é tanto a novidade dos métodos como a combinação e a paciência com que se executam, aproveitando serviços legítimos como o SharePoint para que os enganos pareçam inocuos.
O cenário repete-se com uma lógica eficaz: primeiro se compromete uma conta confiável – normalmente pertencente a um parceiro ou fornecedor – e, desde então, são enviadas notificações de “compartição de documentos” que utilizam a imagem e os fluxos habituais do SharePoint. O link leva a um formulário falsificado que pede credenciais; quando a vítima as entrega, os atacantes não só ficam com a senha, mas aproveitam a sessão ativa (os cookies) para manter acesso sem que o proprietário se dê conta.
Uma vez dentro, os atacantes costumam implementar regras na bandeja de entrada que apagam mensagens entrantes e marcam e-mails como lidos. Esse truque permite-lhes operar com sigilo: a vítima não vê os alertas nem as respostas daqueles que recebem os e-mails fraudulentos, e qualquer aviso enviado por terceiros pode ser interceptado ou eliminado. Com a caixa de correio comprometido, os adversários lançam novas ondas de phishing desde uma identidade “de confiança”, ampliando rapidamente o alcance da campanha e afetando tanto a contatos internos como externos.
A Microsoft descreve este modo de operar como uma variante da abordagem “living‐off‐trusted‐sites” (LOTS), que consiste em apoiar-se em plataformas legítimas –SharePoint, OneDrive, Google Drive, Confluence, etc. – para que os links maliciosos pareçam verídicos e sortear assim controles baseados em listas ou reputação. Você pode ler a análise técnica publicada pela Microsoft em seu blog de segurança aqui: Multistage AitM phishing and BEC campaign abusing SharePoint.
Este tipo de ataques revela duas verdades incómodas: primeiro, que mudar a senha nem sempre é suficiente; e segundo, que os atacantes esperam e planejam passos posteriores para permanecer no ambiente. Revocar sessões ativas, remover regras criadas pelo atacante e verificar mudanças nas configurações de MFA são tarefas imprescindíveis após uma intrusão, segundo a própria Microsoft.
Além disso, o panorama da engenharia social está evoluindo. O Okta tem documentado kits de phishing projetados para campanhas de vishing - a fraude por telefone em que o atacante passa por suporte técnico - e permite sincronizar o que o atirador diz por telefone com o que o usuário vê no navegador, controlando em tempo real o fluxo de autenticação. O resultado é uma capacidade para neutralizar métodos de autenticação que não sejam resistentes ao phishing. O relatório do Okta sobre estas campanhas está disponível aqui: Phishing kits adapt to the script of callers.
Os enganos técnicos também ressoam com truques “básicos” mas eficazes: a inserção de credenciais em URLs (o clássico username:password@domínio) pode ser usado para mostrar um domínio conhecido antes do símbolo @, embora o navegador termine se ligar a um domínio malicioso que aparece depois do @. O Netcraft foi documentado e explicado com detalhes, lembrando-nos que a aparência de um URL pode ser deliberadamente enganadora: Retro phishing: Basic auth URLs make a comeback in Japan.
Também seguem em uso as técnicas de homoglifos, onde são substituídas letras por combinações visualmente semelhantes (por exemplo, “rn” por “m”) para criar domínios que a olho nu parecem legítimos. Netcraft tem contado como esta tática continua a dar frutos para os atacantes, porque muitos usuários processam os URLs de forma superficial e não analisam cada caráter: The lowest-tech homoglyph that won't die.
Diante de tudo isso, as recomendações não são mágicas, mas sim imprescindíveis: as organizações devem avançar para métodos de autenticação que resistam phishing, como chaves FIDO2 ou outros mecanismos baseados em certificados, e implantar políticas de acesso condicional que respondam a risco em tempo real. A Microsoft também aconselha a habilitar a avaliação contínua de acesso para revogar sessões e tokens quando se detectar atividade anómala; a documentação oficial explica como essas capacidades funcionam: Security defaults e Continuous access avaliation.
Do ponto de vista operacional, é fundamental que as equipes de TI e segurança incluam em seus processos a verificação e eliminação de regras de bandeja, a revogação de sessões e a auditoria de mudanças em MFA. Também é imprescindível que haja coordenação com fornecedores de identidade e com equipamentos de resposta a incidentes, porque as medidas isoladas, como um simples restabelecimento de senha, podem não cortar todas as vias de persistência que já criaram os atacantes.
Para o utilizador individual, convém manter algumas precauções práticas: suspeitar de e-mails que solicitem credenciais para “ver um documento”, verificar o URL real antes de introduzir dados, evitar a aprovação de pedidos de MFA iniciados por chamadas ou mensagens inesperadas e relatar qualquer e-mail suspeito da equipe de segurança. Quando o engano chega por telefone, a sincronização entre o que o atacante diz e o que aparece no ecrã é precisamente a chave que permite a fraude; manter uma atitude crítica e verificar por canais oficiais é uma barreira simples, mas eficaz.
O caso recente evidencia uma tendência maior: os atacantes preferem aproveitar plataformas e serviços de confiança para ganhar legitimidade e reduzir o custo de construir infra-estruturas próprias. Netcraft tem seguido incidentes semelhantes onde serviços de armazenamento compartilhado são usados para distribuir tanto links de phishing como software malicioso, o que demonstra que a tática é transversal e persistente: Shared document spam delivers remote access tool.
Em suma, a defesa já não é apenas técnica, mas também organizativa e humana. Falta uma mistura de controlos tecnológicos avançados e de cultura de segurança dentro da empresa Para detectar e neutralizar campanhas que exploram a confiança entre parceiros e a ubiquidade de plataformas colaborativas. Os incidentes recentes são um lembrete: não subestimemos nem a astúcia dos atacantes nem a importância de tarefas operacionais aparentemente “menores” como revisar regras de e-mail ou revogar sessões ativas.
Se você trabalha em segurança, revisa as guias técnicas que enlaço acima e prioriza a implementação de MFA resistente ao phishing, políticas de acesso condicional e processos de remediação que incluam limpeza de regras e tokens. Se você é usuário, mantenha a suspeita razoável contra pedidos inesperados e consulta sempre por canais oficiais antes de entregar credenciais ou aprovar acessos.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...