ARToken: novo painel de phishing facilita roubo de logins do Microsoft 365 sem senha
Um painel de phishing recentemente identificado, batizado de ARToken, está oferecendo a criminosos digitais um meio simples e altamente automatizado de sequestrar sessões de login do Microsoft 365 – tudo isso sem que a vítima precise digitar ou revelar sua senha em nenhum momento.
A ferramenta explora um recurso legítimo da própria Microsoft: o fluxo de código de dispositivo (device code) do OAuth, criado originalmente para permitir que aparelhos sem teclado ou navegador – como smart TVs, consoles ou dispositivos de streaming – sejam conectados com segurança a contas Microsoft. Os atacantes se aproveitam desse mecanismo para convencer o usuário a autorizar, por conta própria, o acesso à sua sessão.
Assim que a vítima conclui o processo de autorização, o criminoso recebe um token de sessão totalmente funcional. Esse token dá acesso direto à conta Microsoft 365, geralmente contornando inclusive mecanismos de autenticação multifator (MFA), já que a aprovação foi feita no fluxo oficial de login.
—
Muito além do roubo de credenciais
O diferencial do ARToken não está apenas na técnica para obter o acesso inicial, mas no ecossistema de ferramentas oferecido após o comprometimento. O painel disponibiliza aos operadores mais de oitenta funcionalidades diferentes, organizadas em uma interface de gerenciamento pensada para campanhas em larga escala.
Entre as capacidades já identificadas, destacam-se:
– Atualização automática de tokens roubados para manter sessões ativas por mais tempo.
– Leitura completa da caixa de entrada e de pastas de e-mail do usuário comprometido.
– Busca e monitoramento de conversas sensíveis (por exemplo, sobre pagamentos, folha de pagamento, logística, RH ou finanças).
– Acesso e navegação em bibliotecas do SharePoint e pastas do OneDrive da vítima.
– Download em massa de documentos corporativos, planilhas financeiras, contratos e arquivos confidenciais.
Com isso, um único token roubado deixa de ser apenas uma “porta de entrada” e se transforma em um ponto de apoio duradouro para espionagem corporativa, fraudes financeiras e movimentações internas maliciosas dentro da organização.
—
Origem e relação com outras plataformas de phishing
Investigadores de segurança identificaram o ARToken durante a análise de uma infraestrutura de phishing associada a um incidente real de violação. Ao rastrear o código, foi possível ligá-lo a um painel de gerenciamento em tempo real que, por falha de configuração, estava expondo publicamente todo o conjunto de recursos disponíveis aos operadores.
O painel apresenta fortes semelhanças – em infraestrutura, padrões de codificação e comandos de backend – com o EvilTokens, uma plataforma de “phishing como serviço” que ganhou notoriedade recentemente. Pesquisas anteriores já haviam associado o EvilTokens a uma operação massiva de ataques, envolvendo:
– Centenas de domínios hospedados em serviços de edge computing e workers em nuvem.
– Milhares de páginas de phishing dedicadas à captura de tokens de sessão de Microsoft 365.
– Uma rede de afiliados responsáveis por disparar campanhas direcionadas em diversos países.
Os alvos preferenciais dessas campanhas incluíam funcionários de finanças, recursos humanos e logística, setores tradicionalmente expostos a solicitações de pagamento, aprovações de faturas e intercâmbio de documentos sensíveis. Muitos ataques utilizavam textos gerados ou refinados por inteligência artificial, tornando os e-mails ainda mais convincentes e personalizados.
O ARToken surge, nesse contexto, como uma espécie de “evolução” ou ramificação desse ecossistema, oferecendo uma interface mais refinada, automações adicionais e maior foco em persistência e exploração avançada após o acesso inicial.
—
Como o ataque é montado: da engenharia social ao sequestro da sessão
A cadeia de ataque típica observada em campanhas que utilizam o ARToken é meticulosamente planejada e começa bem antes da página falsa de login. O primeiro passo costuma ser um e-mail extremamente convincente, construído com base em dados reais sobre fornecedores, parceiros e rotinas da empresa-alvo.
Em vez de criar uma entidade fictícia, os criminosos preferem se passar por um fornecedor legítimo ou por um contato interno da organização. Em um dos casos analisados, o e-mail imitava o departamento de contas a pagar de uma empresa que de fato mantinha contrato com a vítima, mencionando uma fatura pendente e anexando um suposto link para um documento do SharePoint.
O detalhe mais perigoso:
– O texto visível do link parecia apontar para o tenant real do SharePoint do fornecedor, reforçando a sensação de legitimidade.
– Porém, o destino real conduzia a um clone quase perfeito de um espaço de trabalho hospedado e controlado pelos atacantes.
Como a URL final ainda continha o domínio sharepoint.com, o e-mail tendia a escapar dos filtros antispam tradicionais e a convencer até usuários relativamente desconfiados.
—
Abuso do fluxo de código de dispositivo da Microsoft
Ao clicar no link, a vítima é redirecionada para uma página de “login de dispositivo” da Microsoft falsa, cuidadosamente construída para imitar a aparência oficial. Essa página exibe um código de dispositivo e orienta o usuário a ir até o endereço legítimo de login de dispositivo da Microsoft em seu navegador, inserindo ali o código exibido.
Para qualquer usuário que já tenha configurado um aplicativo de streaming ou uma smart TV, essa sequência parece absolutamente normal: você vê um código em uma tela e o digita em outra para vincular a conta. A diferença é que, nessa situação, quem está sendo autenticado é o aplicativo malicioso operado pelo criminoso, e não um dispositivo da vítima.
O fluxo se desenrola da seguinte forma:
1. A vítima acessa o link de “documento” recebido por e-mail.
2. A página de phishing exibe um código de dispositivo, supostamente para validar o acesso ao arquivo.
3. O usuário é instruído a visitar a página oficial da Microsoft para digitar esse código.
4. Ao inserir o código na página legítima, a vítima autentica com sua conta corporativa, inclusive com MFA, se exigido.
5. Em segundo plano, essa autenticação concede ao painel de phishing um token OAuth válido e funcional.
O resultado: o atacante passa a possuir um token de acesso que lhe permite agir em nome da vítima, sem jamais ter visto a senha e, em muitos casos, sem ser bloqueado por mecanismos adicionais de segurança.
—
Evasão em várias camadas: evitando detecção automatizada
Antes mesmo de apresentar o código de dispositivo ou qualquer interface de login, o kit ARToken executa uma série de checagens de segurança projetadas para driblar ferramentas de análise automática e varreduras de segurança. Pesquisadores identificaram um processo de triagem em múltiplas camadas, que pode incluir:
– Verificação do endereço IP e geolocalização do visitante, bloqueando ranges associados a data centers, VPNs públicas e provedores de segurança.
– Análise de cabeçalhos do navegador e características do user agent, em busca de sinais de automação (como scanners, crawlers ou scripts de análise).
– Identificação de comportamentos típicos de sandbox, como movimentação de mouse artificial ou ausência total de interação humana.
– Checagem de reputação do dispositivo e de parâmetros de tempo de sessão, descartando acessos suspeitos que não pareçam de um usuário real.
Somente após essa triagem a página real de engajamento é exibida à vítima que passou nos filtros, o que reduz significativamente a chance de que o ataque seja capturado precocemente por sistemas de monitoramento automatizado.
—
Persistência e pós-exploração: o que o atacante faz depois do acesso
Uma vez obtido o token de sessão do Microsoft 365, o ARToken oferece ao operador um painel de controle que se parece mais com uma suíte de administração remota do que com uma simples ferramenta de phishing. Entre as ações comumente realizadas após o comprometimento, destacam‑se:
– Monitorar conversas de e-mail em busca de oportunidades para fraudes de pagamento, como desvio de boletos ou alteração de dados bancários.
– Encadear novos ataques, respondendo em threads legítimas com anexos maliciosos ou novos links de phishing.
– Copiar dados estratégicos de SharePoint e OneDrive, incluindo documentos jurídicos, listas de clientes, tabelas de preços e informações de propriedade intelectual.
– Criar regras de encaminhamento de e-mail para caixas controladas pelo atacante, mantendo espionagem contínua mesmo após eventual troca de senha.
– Registrar e renovar tokens antes que expirem, prolongando a janela de acesso sem despertar suspeitas imediatas.
Com as ferramentas certas, o atacante pode permanecer invisível dentro do ambiente por semanas ou meses, realizando movimentos sutis e cuidadosamente planejados para maximizar o ganho financeiro ou o impacto sobre a organização.
—
Riscos específicos para empresas e departamentos críticos
Empresas que utilizam intensamente o Microsoft 365 para colaboração interna e com terceiros se tornam alvos naturais desse tipo de ataque. Setores como financeiro, contas a pagar e receber, compras, RH e logística são particularmente visados por três motivos principais:
1. Volume de transações e aprovações
Esses departamentos recebem diariamente grandes quantidades de e-mails com links para documentos, faturas, contratos e planilhas. Isso torna muito mais fácil esconder um e-mail malicioso em meio ao fluxo normal.
2. Autoridade sobre pagamentos e dados sensíveis
Funcionários dessas áreas têm poder de aprovar pagamentos, alterar dados bancários de fornecedores e acessar bases com dados pessoais, tornando-os alvos ideais para golpes de fraude de pagamento e roubo de informações.
3. Rotina acelerada e pressão por produtividade
A pressão por responder rapidamente a demandas operacionais reduz o tempo dedicado à verificação minuciosa de mensagens suspeitas, abrindo espaço para que um e-mail bem produzido passe despercebido.
—
Como mitigar e se defender de ataques baseados em ARToken
Embora o ARToken explore um recurso legítimo da Microsoft, existem diversas medidas que empresas e usuários podem adotar para reduzir drasticamente o risco de comprometimento:
1. Reforçar a conscientização sobre fluxos de login incomuns
Treinar usuários para desconfiar de qualquer situação em que:
– um e-mail peça para inserir um “código de dispositivo” para ver um documento;
– ações de autenticação sejam exigidas fora do fluxo normal de acesso à conta corporativa;
– instruções de login pareçam destoar do que a organização costuma utilizar.
2. Aplicar políticas de consentimento de aplicativos e tokens OAuth
Administradores de TI devem revisar e restringir:
– quais aplicativos podem receber consentimento de usuários finais;
– quais permissões podem ser concedidas a novos aplicativos ou dispositivos;
– o uso de fluxos de device code em contextos onde não sejam estritamente necessários.
3. Monitorar logins e atividades suspeitas no Microsoft 365
Ferramentas de auditoria e SIEM podem ser configuradas para:
– alertar sobre logins incomuns, especialmente via fluxos de device code;
– detectar criação de regras de encaminhamento suspeitas em caixas de e-mail;
– observar picos abruptos de download de arquivos do OneDrive e do SharePoint.
4. Revisar e endurecer a política de MFA
Embora o ataque consiga contornar o MFA tradicional, ainda é possível:
– aplicar MFA contínuo em ações de alto risco, como acesso a dados sensíveis;
– combinar MFA com políticas de acesso condicional (geografia, dispositivo, horário, risco);
– utilizar métodos de autenticação resistentes a phishing, como FIDO2, quando adequados.
5. Implementar validações internas para mudanças financeiras
Para reduzir o impacto de fraudes:
– definir que mudanças em dados bancários de fornecedores só podem ser aprovadas após verificação fora do canal de e-mail (por telefone conhecido, por exemplo);
– exigir dupla aprovação para pagamentos acima de determinados valores;
– registrar e auditar todas as alterações críticas em cadastros financeiros.
—
Boas práticas para usuários finais
Além das políticas técnicas, o comportamento diário dos usuários é determinante. Alguns pontos fundamentais:
– Desconfiar de qualquer pedido urgente de acesso a “faturas em atraso” ou “documentos que expiram”, especialmente se envolverem etapas de login diferentes do padrão da empresa.
– Verificar sempre o remetente real da mensagem e, em caso de dúvida, confirmar diretamente com o fornecedor ou colega por outro canal.
– Evitar seguir instruções de login que surgem como imagem ou print dentro do e-mail – esse é um truque comum para burlar filtros automáticos.
– Notificar imediatamente a equipe de TI ou segurança ao perceber qualquer página de login suspeita ou comportamento diferente no acesso aos serviços Microsoft.
—
Preparando a organização para a próxima geração de phishing
Ataques como os possibilitados pelo ARToken mostram claramente a evolução do phishing: não se trata mais apenas de roubar senhas mal digitadas em páginas falsas, mas de explorar fluxos legítimos de autenticação e processos de confiança já consolidados nas organizações.
Para se proteger, não basta instalar filtros de spam ou antivírus. É preciso combinar:
– Governança de identidades e acessos bem estruturada.
– Monitoramento contínuo de atividades em nuvem, especialmente em plataformas críticas como o Microsoft 365.
– Programas recorrentes de conscientização, adaptados à realidade de cada área de negócio.
– Processos internos sólidos que não dependam apenas da “boa-fé do e-mail” para autorizar operações financeiras ou acesso a informações sensíveis.
Ao entender em detalhe como ferramentas como o ARToken funcionam e quais brechas comportamentais e técnicas elas exploram, empresas podem ajustar suas defesas para enfrentar não apenas esse painel específico, mas todo um novo modelo de ataques baseados em abuso de recursos legítimos e engenharia social de alto nível.
