Cibercriminosos estão explorando falhas em configurações de roteamento e proteções contra spoofing para se passar por domínios corporativos, enviando e-mails que aparentam origem interna nas organizações.
De acordo com relatório divulgado na última terça-feira pela equipe de Threat Intelligence da Microsoft, esses atores maliciosos usam essa técnica para disseminar diferentes tipos de mensagens de phishing associadas a plataformas do tipo phishing-as-a-service (PhaaS), como o Tycoon 2FA.
As mensagens frequentemente trazem iscas envolvendo mensagens de voz, documentos compartilhados, comunicações do departamento de RH, solicitações de redefinição ou expiração de senha, entre outras, com o objetivo principal de roubar credenciais.
Embora não seja uma tática inédita, a Microsoft observa um aumento significativo no uso desse método desde maio de 2025, em campanhas oportunistas que atingem vários setores da economia.
Um dos focos dessas campanhas são ataques financeiros, nos quais e-mails spoofados são usados para enganar organizações e aplicar golpes.
O ataque funciona principalmente quando o ambiente do cliente apresenta roteamento complexo de e-mails combinado com proteções contra spoofing mal configuradas ou flexíveis.
Um exemplo comum é quando o registro MX aponta para um servidor Exchange local ou um serviço terceirizado antes de chegar ao Microsoft 365.
Isso gera uma vulnerabilidade que permite o envio de mensagens de phishing com aparência legítima, aparentemente enviadas pelo próprio domínio da vítima.
A maior parte das campanhas que exploram essa brecha utiliza o kit PhaaS Tycoon 2FA.
Só em outubro de 2025, a Microsoft bloqueou mais de 13 milhões de e-mails maliciosos associados a essa ferramenta.
Os kits PhaaS facilitam a criação e gestão de campanhas de phishing, mesmo por usuários com pouca experiência técnica, oferecendo templates personalizados, infraestrutura e ferramentas para driblar autenticação multifator por meio de ataques do tipo adversary-in-the-middle (AiTM).
Além da tentativa de roubo de credenciais, a Microsoft identificou e-mails spoofados usados em golpes financeiros, nos quais os criminosos tentam induzir as vítimas a pagar faturas falsas.
Essas mensagens frequentemente imitam serviços legítimos como DocuSign ou se passam por departamentos de RH, em comunicações sobre salários e benefícios.
Os e-mails, que simulam conversas entre o CEO, fornecedores ou o departamento financeiro da vítima, costumam incluir três anexos para dar credibilidade ao golpe: uma fatura falsa de milhares de reais para transferência bancária, um formulário IRS W-9 com dados pessoais usados para abrir a conta fraudulenta e uma carta bancária falsa, supostamente fornecida por um funcionário do banco online.
O texto também pode conter links clicáveis ou QR Codes que direcionam a páginas falsas.
A principal pista para o usuário é a aparente origem interna do e-mail, geralmente com o mesmo endereço nos campos “Para” e “De”.
Para mitigar esse risco, as empresas devem aplicar políticas rigorosas de autenticação, como DMARC com rejeição (reject) e SPF com hard fail, além de configurar corretamente conectores de terceiros, como serviços de filtragem de spam e ferramentas de arquivamento.
É importante destacar que organizações com registros MX apontando diretamente para o Office 365 não são vulneráveis a essa técnica.
Também é recomendado desabilitar o recurso Direct Send quando não for necessário, para bloquear e-mails spoofados.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...