Um novo método de ciberataque está chamando a atenção da indústria de segurança: a combinação de aplicativos Microsoft OAuth e redirecionamentos ocultos para o roubo de credenciais corporativas. A técnica foi detalhada pela empresa de cibersegurança Proofpoint em um relatório divulgado nesta quinta-feira (31).
Segundo a companhia, o objetivo das campanhas é utilizar os apps OAuth como isca para induzir as vítimas ao golpe principal: o comprometimento de contas — inclusive daquelas protegidas por autenticação multifator (MFA).
O que são aplicativos Microsoft OAuth?
Os aplicativos Microsoft OAuth utilizam o protocolo OAuth 2.0 para garantir acesso autorizado a recursos protegidos, como APIs do Microsoft Graph, sem exigir que o usuário compartilhe diretamente suas credenciais com o aplicativo. Funciona como uma camada intermediária de autorização, concedendo permissões com base na confiança do usuário.
Além de mais seguro, o modelo oferece praticidade, evitando múltiplos logins e facilitando a integração com outros produtos. Por isso, é amplamente adotado em ferramentas como RingCentral, SharePoint, Adobe, DocuSign e ILSMart — algumas delas usadas como fachada pelos cibercriminosos.
Como funcionam os apps OAuth legítimos?
De forma simplificada, o fluxo de um app OAuth ocorre assim:
- O aplicativo solicita acesso a recursos protegidos (por exemplo, dados no Microsoft Graph);
- O usuário é redirecionado ao servidor de autorização da Microsoft para realizar o login;
- Após a autenticação, o usuário concede permissões ao app;
- Um token de acesso é emitido;
- O app utiliza esse token para acessar os dados em nome do usuário.
Como funciona o golpe?
Os ataques exploram esse mesmo fluxo, mas com finalidades maliciosas. O golpe segue uma sequência estruturada em múltiplas etapas e elementos de engenharia social:
- Uma conta de e-mail comprometida envia mensagens com conteúdo aparentemente legítimo, como pedidos de orçamento ou contratos comerciais;
- Essas mensagens contêm links que redirecionam a vítima para uma página controlada pelos atacantes;
- Na página, é apresentada uma solicitação de permissão de um aplicativo OAuth fraudulento para acesso ao perfil da vítima;
- Ao conceder o acesso, a vítima é redirecionada para um desafio CAPTCHA, seguido por uma página falsa de verificação em duas etapas da Microsoft;
- Essa página intercepta o código de autenticação de dois fatores e associa o token ao cookie de sessão, permitindo o acesso à conta.
Mesmo que o usuário recuse a solicitação inicial de permissões, o fluxo do golpe continua: o CAPTCHA e a página falsa da Microsoft ainda são exibidos, tentando obter as credenciais de forma indireta.
O roubo dos cookies de sessão é feito por meio da ferramenta de Phishing-as-a-Service (PhaaS) conhecida como Tycoon.
Contas corporativas são o principal alvo
Em 2025, a Proofpoint identificou que cerca de 3 mil contas, distribuídas entre mais de 900 ambientes Microsoft 365, foram alvo desse tipo de ataque. A taxa de sucesso é alarmante: 50% das tentativas resultaram em invasões bem-sucedidas.
“Os agentes de ameaças estão criando cadeias de ataque cada vez mais sofisticadas para contornar sistemas de detecção e comprometer organizações no mundo todo. A Proofpoint prevê que a identidade do usuário será o foco principal dos ataques, com o phishing AiTM (adversary-in-the-middle) se consolidando como padrão na indústria criminosa”, alerta a empresa.
Como se proteger?
A Proofpoint recomenda uma série de medidas para prevenção:
- Reforçar os filtros contra e-mails maliciosos e campanhas de phishing;
- Revisar regularmente os dispositivos e aplicativos autorizados em contas corporativas;
- Implementar sistemas de monitoramento para detectar acessos anômalos ou não autorizados a recursos protegidos;
- Educar os usuários sobre os riscos do uso de autenticação multifator e o funcionamento do OAuth;
- Considerar a adoção de chaves de autenticação física baseadas no padrão FIDO como alternativa mais segura ao MFA tradicional.
Quer se proteger de ataques cibernéticos cada vez mais sofisticados? Siga o TecMundo nas redes sociais e acompanhe todas as novidades e dicas sobre segurança digital no ambiente corporativo.