Campanha criminosa usa IA para automatizar ataques em larga escala
Uma investigação da equipe Microsoft Defender Security Research identificou uma campanha massiva de phishing que explora o fluxo de autenticação por código de dispositivo (device code) para tomar controle de contas corporativas. Em vez de tentar “invadir” sistemas à força, os invasores passaram a “entrar pela porta da frente”, usando credenciais válidas e mecanismos legítimos de autenticação, mas de forma abusiva e altamente automatizada.
Segundo a Microsoft, essa operação apresenta uma taxa de sucesso bem maior do que ataques de phishing tradicionais, graças à combinação de automação em larga escala, geração dinâmica de códigos de autenticação e uso intensivo de inteligência artificial generativa para personalizar iscas e enganar usuários.
EvilTokens: a campanha que transforma identidade em alvo principal
No centro dessa onda de ataques está um kit malicioso apelidado de EvilTokens. De acordo com Bill Legue, threat hunter líder da AppOmni, essa campanha reflete um padrão cada vez mais comum em ataques direcionados a aplicações SaaS: o foco deixa de ser a exploração de vulnerabilidades técnicas e passa a ser o abuso da identidade digital.
Em vez de “quebrar” senhas ou contornar sistemas de proteção, os criminosos procuram se autenticar como se fossem o próprio usuário, obtendo tokens válidos e persistentes. Na prática, isso transforma:
– Identidade na principal superfície de ataque;
– Tokens de acesso no novo mecanismo de persistência dentro do ambiente;
– Funcionalidades nativas das plataformas (como fluxos OAuth) em verdadeiras armas de intrusão.
Quando o atacante consegue um acesso legítimo, muitos controles tradicionais – como antivírus, firewall ou até MFA mal configurado – se tornam insuficientes. Por isso, Legue destaca que as equipes de segurança precisam mudar o foco: sair da lógica de “bloquear tudo” e avançar para estratégias de contenção, redução contínua de risco e monitoramento de uso da identidade.
Como funciona o abuso do fluxo de código de dispositivo
O alvo principal dessa campanha é o chamado device code, um fluxo OAuth legítimo, pensado originalmente para dispositivos com interfaces limitadas – como smart TVs, consoles de videogame ou equipamentos IoT. Nessas circunstâncias, em vez de digitar login e senha em um controle remoto, o usuário recebe no dispositivo um código curto e o insere em um navegador de outro equipamento (computador ou celular) para concluir a autenticação.
Os atacantes se aproveitam justamente dessa experiência de uso:
1. Eles iniciam o fluxo de autenticação por código de dispositivo em um serviço legítimo.
2. Geram um código temporário que, em condições normais, o usuário deveria inserir em uma página oficial para autorizar seu próprio dispositivo.
3. Em vez disso, o código é enviado à vítima por meio de e-mails de phishing, mensagens ou páginas fraudulentas, com um contexto convincente (por exemplo, uma “verificação de acesso corporativo” ou “atualização de segurança obrigatória”).
4. Quando a vítima, acreditando estar se protegendo, digita o código na página indicada, ela acaba autorizando a sessão do invasor – não a dela. O atacante passa a ter um token válido, associado à identidade real do usuário.
O mais perigoso é que, para o sistema, tudo parece um fluxo normal de autenticação: existe um código legítimo, gerado por um endpoint legítimo, validado por um usuário legítimo. O abuso está no contexto e no direcionamento, não na tecnologia em si.
Automação e geração dinâmica: o segredo da escala
Para transformar essa técnica em uma campanha massiva, os criminosos recorreram a plataformas de automação e orquestração, como serviços de hospedagem e execução de tarefas em nuvem. Um dos exemplos observados foi o uso de infraestrutura para criar milhares de pequenos nós de polling, com vida útil curta, dedicados a iniciar fluxos de device code o tempo todo.
Normalmente, o código de dispositivo tem uma janela de validade de aproximadamente 15 minutos. Em ataques menos sofisticados, isso limita o tempo que o invasor tem entre a geração do código e o momento em que a vítima o insere. A campanha identificada contorna essa limitação com um truque importante: o código só é gerado no exato instante em que a vítima clica no link malicioso.
Assim, o processo funciona quase em tempo real:
– O usuário recebe um e-mail, SMS ou mensagem com um link de “ação imediata”;
– Ao clicar, um script automatizado aciona o fluxo de device code na mesma hora;
– O sistema malicioso exibe então um código válido, dentro da janela de 15 minutos;
– A vítima insere o código em um site aparentemente confiável, validando a sessão do atacante enquanto o código ainda está ativo.
Esse grau de sincronização entre vítima e infraestrutura maliciosa é o que permite que a campanha seja escalável, atingindo milhares de organizações ao mesmo tempo com alta taxa de conversão.
IA generativa: phishing sob medida para cada vítima
Outro pilar da campanha é o uso de inteligência artificial generativa para criar iscas hiperpersonalizadas. Em vez de e-mails genéricos, cheios de erros de ortografia ou mensagens improvisadas, os criminosos agora conseguem:
– Adaptar o tom de voz ao setor da empresa (financeiro, saúde, indústria, governo);
– Inserir termos técnicos e jargões específicos da área da vítima;
– Simular comunicações internas, como avisos de RH, mensagens do time de TI ou alertas da diretoria;
– Ajustar o idioma, a formalidade e até o estilo de escrita conforme o país ou a cultura organizacional.
Essas mensagens podem ser geradas em massa, mas com alto grau de personalização, o que reduz o estranhamento do usuário e aumenta a chance de ele seguir as instruções – inclusive de inserir um código de dispositivo em um site falso ou em uma página intermediária criada para capturar a autorização.
Na prática, a IA se torna um multiplicador de eficiência para os golpistas: em poucos minutos, eles produzem centenas ou milhares de variações de e-mails convincentes, adaptados a diferentes perfis de vítimas.
O que acontece depois que a conta é comprometida
Uma vez que o usuário, sem perceber, autoriza a sessão do atacante, a campanha entra em uma fase de exploração pós-comprometimento, também fortemente automatizada. Os criminosos utilizam scripts e APIs, como o Microsoft Graph, para:
– Fazer reconhecimento do ambiente e entender quais permissões a conta possui;
– Identificar se a vítima tem funções sensíveis, especialmente em finanças, diretoria, jurídico, compras ou TI;
– Mapear acessos a dados confidenciais, caixas de e-mail compartilhadas, drives corporativos e aplicações críticas;
– Criar regras maliciosas na caixa de entrada, redirecionando mensagens ou ocultando alertas de segurança e notificações suspeitas.
Esse reconhecimento automatizado permite priorizar alvos de alto valor, como CFOs, diretores, gerentes de contas e administradores de sistemas. Em muitos casos, os atacantes utilizam o próprio e-mail comprometido para disparar novas tentativas de phishing internas, ampliando o alcance da campanha dentro da organização.
Tokens como mecanismo de persistência silenciosa
Um dos pontos mais preocupantes é o uso de tokens de acesso e de atualização como mecanismo de persistência. Mesmo que não haja um roubo direto de senha, o invasor mantém sessões válidas por longos períodos, principalmente se políticas de expiração de sessão forem permissivas ou mal configuradas.
Isso permite que o atacante:
– Acesse dados e recursos periodicamente, sem acionar novos fluxos de autenticação;
– Execute movimentações laterais, tentando chegar a contas mais privilegiadas;
– Espere o momento certo para fraudes financeiras, sequestro de dados ou extorsão;
– Continue invisível, já que o uso de tokens válidos muitas vezes não dispara alertas tradicionais de segurança.
Por isso, a estratégia de defesa precisa ir além da proteção de senha e do MFA, passando a monitorar ativamente o comportamento de sessão e o uso de tokens no ambiente.
Por que os controles tradicionais não bastam mais
Firewalls, antivírus e até soluções de EDR são essenciais, mas têm escopo limitado diante de ataques baseados em identidade e em fluxos legítimos de autenticação. Quando o tráfego é autorizado, as credenciais são válidas e o processo segue um padrão “esperado” pela aplicação, muitas das ferramentas clássicas não enxergam o desvio de comportamento.
Além disso:
– Treinamentos superficiais de conscientização, focados apenas em “não clique em links estranhos”, se tornam insuficientes diante de e-mails bem produzidos, com contexto realista e linguagem corporativa;
– O uso crescente de SaaS e trabalho remoto amplia a superfície de ataque, já que o acesso vem de diversos dispositivos e redes;
– A dependência de fluxos como OAuth e device code tende a crescer, especialmente com a expansão de dispositivos conectados.
Essa mudança de cenário exige que equipes de segurança adotem uma visão centrada na identidade, na análise de comportamento e na gestão de risco contínuo.
Recomendações da Microsoft para mitigar o risco
Para reduzir os impactos desse tipo de campanha, a Microsoft recomenda uma combinação de medidas técnicas e de conscientização:
– Bloquear ou restringir o fluxo de código de dispositivo em ambientes onde ele não é necessário, usando políticas de Acesso Condicional;
– Implementar políticas antifishing robustas, incluindo análise de remetente, conteúdo e anexos;
– Ativar recursos de proteção de links (como Safe Links) para inspecionar URLs em tempo real, inclusive em mensagens internas;
– Aplicar políticas de login baseadas em risco, usando sinais como localização incomum, dispositivo não gerenciado e horário atípico;
– Revogar sessões ativas e tokens suspeitos sempre que houver indícios de comprometimento;
– Validar de forma contínua a identidade do usuário, por exemplo, com autenticação forte adaptativa e revalidação em ações sensíveis.
Essas ações devem ser acompanhadas de uma governança clara em torno do uso de fluxos OAuth e de aplicações de terceiros conectadas ao ambiente corporativo.
Como as empresas podem fortalecer sua postura de segurança
Além das recomendações específicas para o fluxo de device code, organizações podem adotar uma série de boas práticas para se preparar melhor contra campanhas semelhantes:
– Inventariar e classificar todas as aplicações que utilizam OAuth e outros mecanismos de delegação de acesso;
– Restringir o consentimento de usuários finais para novas aplicações, exigindo aprovação administrativa para integrações sensíveis;
– Implementar o princípio do menor privilégio em contas de usuários e de serviço;
– Habilitar logs detalhados e centralizar eventos de autenticação em um SIEM para análise e correlação;
– Criar playbooks de resposta específicos para incidentes envolvendo roubo de identidade e abuso de tokens.
Quanto mais madura for a gestão de identidade e acesso (IAM), menor a superfície de ataque disponível para campanhas como a EvilTokens.
Conscientização 2.0: treinar para contextos, não só para cliques
Diante de e-mails cada vez mais convincentes, a conscientização de usuários também precisa evoluir. Não basta repetir que “não se deve clicar em links”; é necessário explicar:
– O que é um fluxo de autenticação por código de dispositivo e quando ele é legítimo no contexto da empresa;
– Que tipo de solicitação de código ou confirmação de acesso é comum na rotina corporativa – e o que deveria causar estranhamento;
– Como validar, de forma simples, se um pedido de autenticação veio de uma fonte confiável (por exemplo, entrando diretamente no portal oficial, em vez de usar o link recebido por e-mail);
– Que o simples ato de digitar um código pode, em alguns casos, dar controle total a terceiros, mesmo sem informar senha.
Simulações práticas de phishing, incluindo cenários com códigos de autenticação e páginas de login falsas, ajudam os colaboradores a reconhecer situações de risco no dia a dia.
O futuro dos ataques baseados em IA e identidade
O caso da campanha EvilTokens ilustra um ponto de virada nos ataques cibernéticos: a combinação de automação, IA generativa e abuso de fluxos de autenticação legítimos tende a se tornar padrão, não exceção. É razoável esperar que os próximos anos tragam:
– Iscas ainda mais realistas, apoiadas em dados públicos, redes sociais e vazamentos anteriores;
– Ataques híbridos envolvendo múltiplos canais (e-mail, SMS, aplicativos de mensagem, ligações automatizadas);
– Exploração criativa de outros fluxos OAuth e mecanismos de login sem senha;
– Integração de malwares e bots com IA para tomada de decisão em tempo real durante a invasão.
Nesse cenário, organizações que continuarem confiando apenas em barreiras tradicionais, sem uma estratégia robusta de proteção de identidade e análise de comportamento, ficarão em clara desvantagem.
Conclusão: identidade no centro da estratégia de cibersegurança
A campanha que explora o fluxo de código de dispositivo mostra, com clareza, que o campo de batalha migrou da infraestrutura para a identidade. Atacantes não precisam mais derrubar paredes; basta convencer alguém a abrir a porta certa na hora certa.
Responder a essa nova realidade exige:
– Controle rigoroso sobre como usuários e dispositivos se autenticam;
– Monitoramento contínuo de sessões, tokens e comportamentos anômalos;
– Políticas que limitem o uso de fluxos de autenticação onde eles não são estritamente necessários;
– Cultura de segurança alinhada às novas formas de ataque, em que IA e automação são usadas dos dois lados.
Empresas que conseguirem colocar a identidade no centro da sua arquitetura de defesa estarão mais preparadas para enfrentar campanhas em larga escala como a EvilTokens – e as que virão depois dela.