render-mfa2go-novo-logo
Voltar ao início do blog

Kits Jalisco e OmegaLord miram Microsoft 365 e burlam MFA por OAuth

Golpe

Microsoft 365 sob phishing: saiba o risco

Jalisco e OmegaLord tentam acessar contas corporativas mesmo com autenticação em duas etapas.

Kits Jalisco e OmegaLord miram Microsoft 365 e burlam MFA por OAuth

Resumo rapido

Pesquisadores da ReliaQuest analisaram dois novos kits de phishing, chamados Jalisco e OmegaLord. Ambos miram contas Microsoft 365 e usam truques para driblar a autenticação multifator. O risco é alto porque o ataque acontece em páginas legítimas da Microsoft ou por meio de um falso leitor de PDF.

Neste artigo voce vai aprender:

  • Quais são os kits Jalisco e OmegaLord.
  • Como o golpe por código de dispositivo funciona.
  • Por que o MFA pode ser contornado nesses casos.
  • Quais sinais devem acender o alerta.
  • O que fazer para reduzir o risco em contas Microsoft 365.

O que aconteceu

Dois kits de phishing foram flagrados em ataques contra contas Microsoft 365. Segundo a análise publicada pela BleepingComputer, eles atendem pelos nomes de Jalisco e OmegaLord. Os dois buscam o mesmo objetivo: enganar a vítima para chegar à conta, mesmo quando a empresa já usa autenticação multifator, o famoso MFA.

A diferença desses golpes está no método. Eles não se limitam a roubar a senha, e sim exploram a confiança do usuário em telas legítimas ou em arquivos que parecem inofensivos, como um simples PDF.

Como os golpes funcionam

O Jalisco aplica o chamado phishing por código de dispositivo. O criminoso inicia uma tentativa de login em um serviço Microsoft, recebe um código de autorização e então convence a vítima a acessar a página legítima da Microsoft e digitar esse código.

No momento em que a vítima confirma, ela autoriza um dispositivo que está nas mãos do atacante. A partir daí, o acesso é liberado sem que o criminoso precise saber o nome de usuário ou a senha, e a autorização fica registrada no Azure AD como se fosse legítima.

O OmegaLord segue outra estratégia e se disfarça de leitor de PDF. A meta é capturar as credenciais de login e o número de telefone vinculado à conta. Com esse telefone em mãos, o atacante ganha um novo caminho para tentar interceptar ou sequestrar solicitações e códigos de MFA.

Sinais de alerta

O ataque convence porque combina páginas reais, mensagens bem escritas e arquivos do dia a dia. Preste atenção a estes sinais:

  • Pedido inesperado para digitar um código em uma página da Microsoft.
  • Mensagem dizendo que você precisa autorizar um dispositivo que não reconhece.
  • Arquivo ou página que se apresenta como leitor de PDF, mas exige login Microsoft 365.
  • Solicitação de telefone junto com usuário e senha.
  • Notificação do Microsoft Authenticator que você não iniciou.

Como se proteger

A defesa começa em tratar todo pedido de autorização como uma ação sensível. Se você não iniciou o login, não aprove. Se recebeu um código por mensagem, e-mail ou chat, não o digite em página alguma.

  • Confirme com a equipe de TI antes de autorizar novos dispositivos.
  • Desconfie de páginas que pedem login para abrir um PDF.
  • Oriente os usuários a nunca compartilhar códigos de dispositivo.
  • Revise acessos recentes e dispositivos autorizados no Microsoft 365.
  • Investigue qualquer solicitação de MFA que chegue fora do contexto esperado.

Checklist pratico

  1. Avise os usuários de que códigos de dispositivo nunca devem ser digitados a pedido de terceiros.
  2. Revise contas Microsoft 365 com alertas de MFA inesperados ou acessos não reconhecidos.
  3. Crie um canal simples para confirmar pedidos de login, acesso e autorização de dispositivos.

Perguntas frequentes

O MFA deixou de ser seguro?

Não. O MFA continua sendo uma camada essencial de proteção. O problema é que alguns golpes induzem o próprio usuário a aprovar uma ação que parece legítima.

O que torna o Jalisco perigoso?

Ele explora o fluxo de código de dispositivo da Microsoft. A vítima acessa uma página real, mas acaba inserindo um código gerado para o dispositivo do atacante.

Por que o OmegaLord pede telefone?

Segundo a análise, o telefone vinculado à conta pode ajudar o criminoso a tentar interceptar ou sequestrar solicitações e códigos de MFA.

Proteja sua empresa com a MFA2GO

A MFA2GO ajuda empresas a organizar autenticação forte, reduzir aprovações indevidas e proteger acessos críticos contra golpes que exploram falhas humanas.

Conheca: Cofre Corporativo de MFA, Gestao de Acesso, Autenticacao Forte. mfa2go.com

Fontes:
https://www.bleepingcomputer.com/news/security/new-phishing-kits-target-microsoft-365-accounts-evade-mfa/

Compartilhe nas redes sociais:

Conteúdos relacionados