Jalisco e OmegaLord tentam acessar contas corporativas mesmo com autenticação em duas etapas.
Pesquisadores da ReliaQuest analisaram dois novos kits de phishing, chamados Jalisco e OmegaLord. Ambos miram contas Microsoft 365 e usam truques para driblar a autenticação multifator. O risco é alto porque o ataque acontece em páginas legítimas da Microsoft ou por meio de um falso leitor de PDF.
Dois kits de phishing foram flagrados em ataques contra contas Microsoft 365. Segundo a análise publicada pela BleepingComputer, eles atendem pelos nomes de Jalisco e OmegaLord. Os dois buscam o mesmo objetivo: enganar a vítima para chegar à conta, mesmo quando a empresa já usa autenticação multifator, o famoso MFA.
A diferença desses golpes está no método. Eles não se limitam a roubar a senha, e sim exploram a confiança do usuário em telas legítimas ou em arquivos que parecem inofensivos, como um simples PDF.
O Jalisco aplica o chamado phishing por código de dispositivo. O criminoso inicia uma tentativa de login em um serviço Microsoft, recebe um código de autorização e então convence a vítima a acessar a página legítima da Microsoft e digitar esse código.
No momento em que a vítima confirma, ela autoriza um dispositivo que está nas mãos do atacante. A partir daí, o acesso é liberado sem que o criminoso precise saber o nome de usuário ou a senha, e a autorização fica registrada no Azure AD como se fosse legítima.
O OmegaLord segue outra estratégia e se disfarça de leitor de PDF. A meta é capturar as credenciais de login e o número de telefone vinculado à conta. Com esse telefone em mãos, o atacante ganha um novo caminho para tentar interceptar ou sequestrar solicitações e códigos de MFA.
O ataque convence porque combina páginas reais, mensagens bem escritas e arquivos do dia a dia. Preste atenção a estes sinais:
A defesa começa em tratar todo pedido de autorização como uma ação sensível. Se você não iniciou o login, não aprove. Se recebeu um código por mensagem, e-mail ou chat, não o digite em página alguma.
Não. O MFA continua sendo uma camada essencial de proteção. O problema é que alguns golpes induzem o próprio usuário a aprovar uma ação que parece legítima.
Ele explora o fluxo de código de dispositivo da Microsoft. A vítima acessa uma página real, mas acaba inserindo um código gerado para o dispositivo do atacante.
Segundo a análise, o telefone vinculado à conta pode ajudar o criminoso a tentar interceptar ou sequestrar solicitações e códigos de MFA.
A MFA2GO ajuda empresas a organizar autenticação forte, reduzir aprovações indevidas e proteger acessos críticos contra golpes que exploram falhas humanas.
Conheca: Cofre Corporativo de MFA, Gestao de Acesso, Autenticacao Forte. mfa2go.com