A recuperação e evolução de Tycoon2FA — um kit de phishing especializado em contornar autenticações — confirma uma tendência perigosa: as operações criminosas não só resistem às ações policiais, mas reutilizam e aperfeiçoam técnicas para explorar fluxos legítimos de autenticação. Pesquisas recentes mostram que seus operadores adicionaram suporte para o chamado ataque de “device code” e que estão aproveitando links de rastreamento legítimos, como os da Trustifi, para redireccionar vítimas para cadeias de entrega no navegador que acabam autorizando dispositivos controlados pelos atacantes em contas da Microsoft 365.
O vetor é simples na aparência, mas eficaz na prática: a vítima recebe um e-mail com um link de rastreamento que passa por serviços legítimos e várias camadas de JavaScript ofuscado; ao chegar à página fraudulenta, pede-lhe copiar um código de dispositivo e colar em microsoft.com/devicelogin, o ecrã real da Microsoft. Quando a vítima completa o fluxo, a Microsoft emite tokens OAuth que o atacante pode usar para acessar e-mails, calendário e armazenamento na nuvem sem necessidade de roubar credenciais tradicionais ou de quebrar a MFA localmente. Para um atacante isso equivale a um acesso persistente e difícil de detectar.
Este método tem escalado nos últimos meses: assinaturas de segurança relataram um aumento exponencial em campanhas de device-code phishing e uma proliferação de kits e serviços PhaaS (Phishing-as-a-Service) que automatizam a campanha, reduzindo a barreira técnica para atores menos especializados. Uma análise sobre o aumento desta técnica pode ser consultada no relatório de Proofpoint sobre a evolução do device-code phishing aqui, enquanto a reconstrução e endurecimento pós-takedown de Tycoon2FA foi documentada por Abnormal Security neste relatório.
Uma característica relevante do kit é sua capacidade para camuflar-se contra pesquisadores e ferramentas automatizadas: detecta ambientes de análise como Selenium, Playwright ou burpsuite, bloqueia faixas associadas a provedores cloud e serviços de segurança, e redirecione todo tráfego suspeito a páginas legítimas para dificultar a pesquisa. Essa capacidade de evasão aumenta o custo e a complexidade da detecção, e explica por que os operadores voltam à atividade após as medidas de interrupção policial.
Para equipes de segurança e administradores de identidades, as implicações são claras: os controles centrados exclusivamente na proteção de credenciais já não bastam. É imprescindível rever e endurecer as políticas de consentimento OAuth, limitar o uso do fluxo de dispositivo quando não for necessário e forçar revisões administrativas para aplicações de terceiros. A Microsoft oferece capacidades como o Continuous Access Evaluation (CAE) e políticas de acesso condicional que ajudam a mitigar esse tipo de abuso; sua adoção deveria ser acelerada em ambientes corporativos.
Em paralelo com alterações de configuração, existem medidas operacionais concretas: monitorizar os logs de Entra ID (antes Azure AD) em busca de autenticações via device_code, rastrear o uso do “Microsoft Authentication Broker” e sinais incomuns como User-Agents de Node.js, e auditar dispositivos registrados e consentimentos de aplicações. Quando se detectar atividade suspeita, convém revogar tokens e sessões, remover dispositivos não reconhecidos e forçar um reconsentimento de aplicativos com menor privilégio.
A reutilização de serviços legítimos (por exemplo, ligações de tracking de plataformas de segurança de correio) como vetores de redireccionamento coloca outro desafio: os fornecedores dessas ferramentas podem acabar sendo usados sem o seu conhecimento ou por clientes comprometidos. Se a sua organização detectar uso malicioso de um fornecedor de tracking ou entrega, contacte imediatamente o fornecedor e partilhe evidências; a coordenação entre vítimas, fornecedores e equipamentos de resposta acelera as mitigações e possíveis remoções de conteúdo malicioso.
Para os usuários finais, a prevenção passa pela educação e prudência: desconfíe de e-mails inesperados que pedem copiar códigos e colar em outra página, confirme a veracidade de facturas ou avisos contactando o emissor por canais independentes, e priorize o uso de chaves FIDO2 ou métodos de MFA que não dependam de copiar/pegar códigos quando possível. Embora a MFA permaneça crucial, este tipo de ataques demonstra que nem todos os fatores de segundo fator oferecem a mesma proteção contra esquemas de consentimento OAuth maliciosos.
As equipes que necessitem de IOC e referências técnicas para detecção e resposta podem consultar os recursos publicados pelos pesquisadores; eSentire, que investigou a cadeia de Tycoon2FA e suas novas camadas de evasão, publicou detalhes e recomendações técnicas em sua análise disponível aqui, e há listas de indicadores publicadas em repositórios públicos que facilitam a integração em ferramentas de detecção e bloqueios automáticos. Adoptar estes sinais, ajustar políticas de consentimento e reforçar a telemetria de identidade são passos urgentes para reduzir o impacto dessas campanhas.
Em última análise, a lição é que a guerra contra o phishing moderno exige uma combinação de melhoria técnica, governação de identidade e cooperação sectorial: sem controlos mais rigorosos sobre OAuth e sem uma resposta coordenada entre fornecedores e organizações, kits como Tycoon2FA continuarão a encontrar forma de reciclar infra-estruturas legítimas em benefício da fraude.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...