Notícias

7 jul, 2026

Phishing com IA sequestra tokens do Microsoft 365 e ignora MFA

Publicidade

Pesquisadores da Cisco Talos revelaram uma ameaça que muda o jogo para times técnicos. O nome dela é ARToken. Além disso, essa plataforma opera como um serviço de phishing pronto para uso. Ou seja, qualquer grupo criminoso aluga o kit e parte para cima do Microsoft 365. Portanto, o ataque deixou de ser artesanal e ganhou escala industrial. E o alvo favorito costuma ser o setor financeiro das empresas.

Phishing as a Service: o modelo que transformou o crime em assinatura

O ARToken segue o modelo de Phishing as a Service. Em outras palavras, os desenvolvedores criam a estrutura e alugam o acesso. Assim, criminosos com pouca experiência recebem um arsenal completo. Essa lógica lembra qualquer produto SaaS que você já assinou. Contudo, aqui o serviço entrega invasão de contas corporativas. Dessa forma, a barreira técnica para atacar despencou.

Por que o token roubado vale mais do que a sua senha

O grande perigo do ARToken vai além de senhas. Na verdade, o malware busca os tokens de autenticação da vítima. Esses tokens são as chaves que mantêm a sessão ativa. Portanto, quem controla o token entra na conta sem digitar nada. Além disso, o invasor ignora a etapa de senha por completo. Como resultado, trocar a senha resolve apenas parte do incidente.

Phishing que passa pelo MFA usando o login real da Microsoft

Aqui está a parte que assusta o pessoal de segurança. A vítima recebe um email falso com uma suposta fatura no SharePoint. Em seguida, o link leva para a página real de login da Microsoft. Então a pessoa digita um código gerado pelo criminoso. Como o login acontece no site oficial, a própria vítima aprova o acesso. Assim, o duplo fator passa sem levantar suspeita. Contudo, a Microsoft envia o token direto para o servidor do atacante. Ou seja, o MFA continua ativo, mas perde o efeito naquele momento.

IA a serviço do crime: o malware que lê e escreve seus emails

A inteligência artificial é o diferencial mais perturbador do ARToken. O malware lê a caixa de entrada da vítima automaticamente. Além disso, ele identifica quais mensagens tratam de transações financeiras. Depois, a IA redige novos emails para enganar outras pessoas. Dessa maneira, o golpe se espalha de dentro da própria empresa. Os criminosos ainda apagam alertas de segurança pelo caminho. E também baixam dados sensíveis do OneDrive e do SharePoint.

Um painel com 80 portas: a escala que os atacantes controlam

Do lado técnico, o ARToken conta com um painel de controle avançado. Esse painel opera com mais de 80 portas de comunicação. Portanto, os criminosos gerenciam várias campanhas ao mesmo tempo. Assim, uma única operação atinge dezenas de empresas em paralelo. Vale destacar um detalhe que engana muita gente. O ataque se apoia na estrutura oficial da Microsoft. Por isso, o antivírus tradicional raramente dispara algum alerta.

Como blindar o Microsoft 365 antes que o token vaze

Agora vem a parte que interessa ao seu time. Primeiro, desative o fluxo de autenticação por código de dispositivo no painel da Azure. Essa recomendação parte da própria Cisco. Além disso, aplique políticas de acesso condicional no Entra ID. Dessa forma, você limita logins vindos de locais estranhos. Vale ativar também a proteção de token contra roubo de sessão. Em seguida, treine as equipes de finanças com atenção redobrada. Afinal, a Microsoft dispensa códigos para liberar faturas ou abrir documentos. Portanto, qualquer pedido nesse formato merece desconfiança imediata.

Phishing evoluiu e a defesa do seu time precisa acompanhar

O ARToken mostra que o phishing amadureceu de vez. A ameaça agora combina IA, automação e a infraestrutura legítima da Microsoft. Contudo, a defesa continua ao seu alcance. Ajuste as configurações do Entra ID hoje mesmo. Reforce o treinamento das equipes com exemplos reais. Dessa forma, o seu ambiente fica muito mais difícil de invadir. Afinal, cada camada extra de proteção faz diferença no cenário atual.

Acompanhe nosso perfil no Instagram!