Recentemente, investigadores de segurança identificaram uma campanha destinada a roubar os salários dos funcionários canadenses, aproveitando uma combinação de técnicas que já se viram crescer nos últimos anos: páginas de início de sessão falsificadas que interceptam tokens de sessão e regras de bandeja de entrada que silenciam qualquer aviso de recursos humanos. O grupo por trás deste esquema, rastreado como Storm-2755, não se conformou com capturar nomes de usuário e senhas: seu objetivo foi reutilizar as sessões já autenticadas para se mover com impunidade dentro dos ambientes da Microsoft 365 e de plataformas de pagamento.
A mecânica da fraude parte de uma tática clássica de phishing melhorada: os atacantes colocam no topo de resultados de busca ou em anúncios maliciosos páginas que imitam os formulários de início da Microsoft 365. Quando a vítima tenta autenticar-se, a página atua como um proxy em tempo real — uma técnica conhecida como adversary-in-the-middle (AiTM) — e captura cookies e tokens OAuth emitidos após uma autenticação bem sucedida. Esses tokens equivalem a uma sessão já aprovada, e por isso os criminosos podem reutilizá-los para aceder aos serviços sem que sejam solicitados a palavra-passe ou o código de multifator. A Microsoft explica com mais detalhes como estes ataques funcionam e o fluxo seguido por Storm‐2755 no seu relatório técnico publicado recentemente.
Um exemplo concreto que ilustra o engano é o uso de domínios legítimos para alojar as páginas falsas (entre os nomes envolvidos apareceu, por exemplo, bluegraintours[.]com), e a promoção dessas páginas por malvertising ou técnicas de “envenenamento” dos motores de busca. O resultado: vítimas que acreditam estar acessando a Microsoft 365 quando na verdade estão entregando as credenciais e, o que é mais crítico, os testes de uma sessão já validada.
Uma vez dentro de uma conta comprometida, os atacantes tomam medidas para que a vítima não detecte a intrusão. Criam regras automáticas na bandeja de entrada que transferem para pastas escondidas os e-mails de recursos humanos que incluem palavras-chave como “depósito direto” ou “banco”, o que impede que o usuário veja comunicações sobre mudanças no pagamento. Depois, buscam e-mails relacionados ao “payroll”, “HR”, “direct deposit” ou “finance” e se fazem passar pelo empregado para solicitar a pessoal de recursos humanos que atualize os dados bancários. Quando a engenharia social não funciona, os adversários aproveitam a sessão roubada para entrar diretamente em plataformas de gestão de pessoal como Workday e modificar as contas para desviar transferências.
Este tipo de fraude, conhecido como “payroll pirate” ou pirateo de salários, é uma variante dos esquemas de compromisso de e-mail empresarial (BEC) que se dirigem a organizações e pessoas que realizam transferências de dinheiro regularmente. A magnitude do problema é enorme: segundo o relatório anual do FBI, o IC3 recebeu em 2025 mais de 24.000 denúncias de BEC com perdas que superaram os 3.000 milhões de dólares, o que coloca essa fraude entre os mais lucrativos a nível global segundo o próprio IC3.
As equipes de segurança têm várias alavancas para reduzir o risco deste vetor de ataque, e muitas passam por impedir que um token roubado possa ser reutilizado. Bloquear protocolos de autenticação “legacy” e adotar métodos de MFA resistentes ao phishing são medidas chave. Organizações como NIST oferecem guias sobre gestão de identidade e autenticação que recomendam evitar mecanismos vulneráveis; além disso, Microsoft e outras plataformas explicam como implantar métodos sem senha e baseados em FIDO2 ou certificados, que complicam muito o trabalho dos proxies AiTM. Para um quadro prático sobre MFA resistente ao phishing, você pode consultar a documentação técnica da Microsoft sobre essa abordagem de segurança aqui, e os guias de NIST sobre controle de acesso ajudam a entender os princípios subjacentes neste documento.
Se for detectada uma intrusão, a resposta rápida é essencial: revogar as sessões e tokens comprometidos, remover regras de bandeja suspeitas, forçar o restabelecimento de fatores de autenticação e credenciais, e rever os acessos a sistemas de pagamento. A Microsoft detalha essas recomendações operacionais no seu relatório sobre Storm-2755, e as medidas de contenção devem combinar ações técnicas com uma revisão forense para entender o alcance do abuso.
Este incidente faz parte de uma tendência mais ampla. Em outubro passado, a Microsoft interveio para desarticular outra campanha de pirateo de rendas (atribuída a um ator diferente, Storm-2657), que desde março de 2025 havia estado comprometendo contas de Workday de funcionários universitários nos Estados Unidos. A tática foi similar: phishing combinado com técnicas AiTM para contornar MFA e tomar o controle de buzones do Exchange Online para manipular pagamentos.
Para as organizações, a lição é dupla: por um lado, reforçar controles técnicos (bloqueio de autenticação antiga, MFA phishing-resistente, monitoramento de sessões e revogação automática diante de comportamentos anormais). Por outro lado, adaptar os procedimentos de recursos humanos e finanças para validar mudanças nas contas bancárias com múltiplos canais fora do e-mail habitual e manter pessoal RR. HH. treinado para detectar pedidos suspeitos. Também é importante que as equipes de aquisição de publicidade e os responsáveis pela reputação em buscadores controlem onde se mostram anúncios e supervisem possível conteúdo malicioso que possa promover páginas clonadas.
Em última análise, estes ataques mostram que a segurança moderna já não depende apenas de uma boa senha ou de um segundo fator tradicional: os adversários sofisticados exploram os próprios mecanismos de autenticação para convertê-los em portas de entrada. A defesa eficaz exige combinar tecnologia, processos e governança para que uma sessão roubada deixe de ser uma nota gratuita para as contas de pagamento. Para aqueles que querem aprofundar, as fontes da Microsoft e do IC3 são um ponto de partida sólido e atualizado sobre a natureza dessas ameaças e as contramedidas recomendadas.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...