Golpe usa login real da Microsoft para tomar contas sem criar página falsa de senha.
Uma campanha de phishing contra contas Microsoft 365 foi observada entre a última semana de junho de 2026 e o início de julho. O golpe usa convites com aparência de colaboração para levar a vítima ao login legítimo da Microsoft. A meta é fazer a pessoa digitar um código gerado pelo atacante e, com isso, entregar o controle da conta.
Pesquisadores da ZeroBEC relataram uma campanha de phishing voltada a contas Microsoft 365. A atividade apareceu entre a última semana de junho de 2026 e o começo de julho, usando iscas com tema de colaboração, como mensagens que lembram convites de trabalho ou interação em equipe.
O que chama atenção é o método: o golpe não depende de uma página falsa imitando a Microsoft. Em vez disso, ele empurra a pessoa para a experiência real de login da Microsoft por código de dispositivo. Como a tela é autêntica, o ataque fica muito mais convincente e passa despercebido por quem foi treinado apenas para caçar páginas clonadas.
O ataque abusa de um recurso legítimo chamado login por código de dispositivo. Ele foi pensado para aparelhos com telas ou teclados limitados, como TVs inteligentes e impressoras. Nesses casos, o aparelho exibe um código curto e o usuário digita esse código em um navegador para concluir o acesso.
No golpe, o atacante gera o código em sua própria infraestrutura e convence a vítima a digitá-lo na página verdadeira da Microsoft. Quando a pessoa completa o processo e confirma suas credenciais, o atacante recupera o acesso vinculado àquele código e assume a conta, incluindo o que ela alcança no Azure AD.
Segundo o relato, a campanha guarda forte semelhança com uma atividade chamada Storm-2372, documentada pela Microsoft em fevereiro de 2025. A novidade destacada é o uso de uma camada de ferramenta reutilizável batizada de DEBULL.
Mesmo com a página de login sendo verdadeira, o contexto ao redor pode ser fraudulento. Fique atento a situações como:
A defesa central é tratar códigos de dispositivo como credenciais sensíveis. Se você não iniciou o login, não digite o código. Em ambientes corporativos, oriente os usuários a confirmar convites por outro canal antes de autenticar qualquer acesso.
Os times de segurança devem revisar acessos suspeitos em contas Microsoft 365 sempre que surgirem relatos de convites estranhos, autenticações inesperadas ou atividade fora do padrão. Agir rápido reduz a janela em que o atacante pode assumir e explorar a conta.
Não. O ponto descrito pela ZeroBEC é justamente o abuso da experiência legítima de login da Microsoft por código de dispositivo.
Usuários de contas Microsoft 365 que recebem e seguem iscas de colaboração, mensagens estilo Teams ou pedidos inesperados para inserir códigos.
É o nome dado a uma camada de ferramenta reutilizável associada à campanha, usada para aplicar uma técnica parecida com a observada no Storm-2372.
Golpes que abusam de logins legítimos exigem controle de identidade, orientação de usuários e resposta rápida. A MFA2GO ajuda empresas a fortalecer autenticação e gestão de acessos.
Conheca: Cofre Corporativo de MFA, Gestao de Acesso, Autenticacao Forte. mfa2go.com
Fontes:
https://thehackernews.com/2026/07/debull-tooling-abuses-microsoft-device.html