Especialistas em autenticação multifator - Blog da MFA2GO

DEBULL usa login de dispositivo Microsoft 365 para roubar contas M365

Escrito por MFA2GO | Jul 7, 2026 10:00:04 PM
Cibersegurança

DEBULL mira Microsoft 365; confira o risco

Golpe usa login real da Microsoft para tomar contas sem criar página falsa de senha.

Navegacao

O que aconteceu Como o golpe funciona Sinais de alerta Como se proteger Checklist pratico

Resumo rapido

Uma campanha de phishing contra contas Microsoft 365 foi observada entre a última semana de junho de 2026 e o início de julho. O golpe usa convites com aparência de colaboração para levar a vítima ao login legítimo da Microsoft. A meta é fazer a pessoa digitar um código gerado pelo atacante e, com isso, entregar o controle da conta.

Neste artigo voce vai aprender:

  • O que é a campanha DEBULL contra Microsoft 365.
  • Por que o golpe não precisa de uma página falsa de senha.
  • Como o código de dispositivo pode ser abusado.
  • Quais sinais merecem atenção em convites e mensagens.
  • Quais medidas práticas reduzem o risco para empresas.

O que aconteceu

Pesquisadores da ZeroBEC relataram uma campanha de phishing voltada a contas Microsoft 365. A atividade apareceu entre a última semana de junho de 2026 e o começo de julho, usando iscas com tema de colaboração, como mensagens que lembram convites de trabalho ou interação em equipe.

O que chama atenção é o método: o golpe não depende de uma página falsa imitando a Microsoft. Em vez disso, ele empurra a pessoa para a experiência real de login da Microsoft por código de dispositivo. Como a tela é autêntica, o ataque fica muito mais convincente e passa despercebido por quem foi treinado apenas para caçar páginas clonadas.

Como o golpe funciona

O ataque abusa de um recurso legítimo chamado login por código de dispositivo. Ele foi pensado para aparelhos com telas ou teclados limitados, como TVs inteligentes e impressoras. Nesses casos, o aparelho exibe um código curto e o usuário digita esse código em um navegador para concluir o acesso.

No golpe, o atacante gera o código em sua própria infraestrutura e convence a vítima a digitá-lo na página verdadeira da Microsoft. Quando a pessoa completa o processo e confirma suas credenciais, o atacante recupera o acesso vinculado àquele código e assume a conta, incluindo o que ela alcança no Azure AD.

Segundo o relato, a campanha guarda forte semelhança com uma atividade chamada Storm-2372, documentada pela Microsoft em fevereiro de 2025. A novidade destacada é o uso de uma camada de ferramenta reutilizável batizada de DEBULL.

Sinais de alerta

Mesmo com a página de login sendo verdadeira, o contexto ao redor pode ser fraudulento. Fique atento a situações como:

  • Mensagem inesperada pedindo para inserir um código de dispositivo da Microsoft.
  • Convite de colaboração, reunião ou Teams que chega fora do fluxo normal da empresa.
  • Pressa para concluir o login ou aceitar um acesso sem validação.
  • Código enviado por alguém que você não conhece ou por um contato que parece fora de contexto.
  • Solicitação para autenticar algo que você não iniciou.

Como se proteger

A defesa central é tratar códigos de dispositivo como credenciais sensíveis. Se você não iniciou o login, não digite o código. Em ambientes corporativos, oriente os usuários a confirmar convites por outro canal antes de autenticar qualquer acesso.

Os times de segurança devem revisar acessos suspeitos em contas Microsoft 365 sempre que surgirem relatos de convites estranhos, autenticações inesperadas ou atividade fora do padrão. Agir rápido reduz a janela em que o atacante pode assumir e explorar a conta.

Checklist pratico

  1. Não digite códigos de dispositivo recebidos por mensagem, convite ou chat sem confirmar a origem.
  2. Se a solicitação envolver Microsoft 365, valide com o remetente por um canal confiável antes de continuar.
  3. Reporte imediatamente ao time de TI qualquer convite incomum que peça login ou código.
  4. Revise as atividades recentes da conta se você chegou a digitar um código que não iniciou.
  5. Treine usuários para reconhecer golpes que usam páginas legítimas, e não apenas páginas falsas.

Perguntas frequentes

O golpe usa uma página falsa da Microsoft?

Não. O ponto descrito pela ZeroBEC é justamente o abuso da experiência legítima de login da Microsoft por código de dispositivo.

Quem pode ser afetado?

Usuários de contas Microsoft 365 que recebem e seguem iscas de colaboração, mensagens estilo Teams ou pedidos inesperados para inserir códigos.

O que é o DEBULL?

É o nome dado a uma camada de ferramenta reutilizável associada à campanha, usada para aplicar uma técnica parecida com a observada no Storm-2372.

Proteja sua empresa com a MFA2GO

Golpes que abusam de logins legítimos exigem controle de identidade, orientação de usuários e resposta rápida. A MFA2GO ajuda empresas a fortalecer autenticação e gestão de acessos.

Conheca: Cofre Corporativo de MFA, Gestao de Acesso, Autenticacao Forte. mfa2go.com

Fontes:
https://thehackernews.com/2026/07/debull-tooling-abuses-microsoft-device.html