← Voltar ao blog

Ferramenta DEBULL Explora Fluxo de Código de Dispositivo da Microsoft para Comprometer Contas do M365

Uma nova campanha de phishing aproveita o fluxo legítimo de autenticação por código de dispositivo da Microsoft para contornar métodos tradicionais de detecção. O ataque utiliza iscas com temas colaborativos para enganar os usuários e obter acesso às suas contas do Microsoft 365.

TL;DR

  • Atacantes usam a ferramenta DEBULL para explorar o fluxo de autenticação por código de dispositivo da Microsoft
  • Campanha ocorreu entre o final de junho e início de julho de 2026
  • Utiliza iscas com temas colaborativos em vez de páginas falsas de login
  • Tem como alvo contas do Microsoft 365 por meio de solicitações que parecem legítimas
  • Contorna mecanismos convencionais de detecção de phishing

Os cibercriminosos continuam a evoluir suas táticas explorando fluxos de autenticação confiáveis. Uma campanha recente descoberta pela ZeroBEC demonstra como adversários estão utilizando o processo legítimo de autenticação por código de dispositivo da Microsoft para obter acesso não autorizado às contas do Microsoft 365.

Em vez de depender de páginas de login enganosas, esse ataque usa técnicas de engenharia social que conduzem as vítimas pela própria interface de autenticação da Microsoft. Esse método aumenta a probabilidade de sucesso ao parecer mais credível para os usuários finais e evitar ferramentas padrão de detecção de phishing.

Como o Ataque Funciona

  • A campanha abusa do fluxo de código de dispositivo da Microsoft, uma extensão legítima do OAuth 2.0 usada para dispositivos com limitações de entrada
  • As vítimas recebem mensagens com temas colaborativos solicitando que se autentiquem por meio de um código de dispositivo
  • Os usuários são direcionados ao portal real de autenticação da Microsoft, fazendo com que a solicitação pareça genuína
  • Após a autenticação, os atacantes obtêm acesso persistente ao e-mail, arquivos e outros serviços do M365
  • Não há necessidade de roubo de credenciais — o acesso é concedido por meio do consentimento do usuário durante o processo normal de login

Implicações para Equipes de Segurança

  • Defesas tradicionais contra phishing podem falhar diante de ataques que utilizam fluxos nativos de autenticação
  • Organizações devem monitorar solicitações incomuns de autenticação por código de dispositivo
  • Treinamentos de conscientização dos usuários devem enfatizar a verificação do contexto antes de aprovar logins baseados em dispositivos
  • Políticas de Acesso Condicional podem ajudar a restringir o uso do fluxo de código de dispositivo apenas a dispositivos conhecidos e gerenciados
  • Equipes de segurança devem revisar registros de auditoria em busca de concessões inesperadas de consentimento a aplicativos de terceiros

Fontes

Fontes

Atualizações de segurança por e-mail

Um e-mail resumo quando publicarmos novos artigos de segurança (TL;DR e links para ler mais). Cancele a inscrição a qualquer momento no rodapé da mensagem. Veja nossa Política de Privacidade.

Ferramenta DEBULL Explora Fluxo de Código de Dispositivo da Microsoft para Comprometer Contas do M365 — Agent Breach Blog | Agent Breach