Grupos mal-intencionados estão atacando organizações dos setores de tecnologia, manufatura e financeiro em campanhas que combinam device code phishing e voice phishing (vishing).
O objetivo é explorar a autorização via OAuth 2.0 Device Authorization Flow para comprometer contas Microsoft Entra.
Diferentemente de ataques anteriores que usavam aplicações OAuth maliciosas, essas campanhas utilizam IDs legítimos de clientes OAuth da Microsoft e o fluxo de autorização por dispositivo.
Assim, enganam usuários para que autentiquem, liberando tokens válidos de autenticação.
Esses tokens permitem acesso às contas das vítimas sem necessidade de recorrer a sites de phishing tradicionais que roubam senhas ou interceptam códigos de autenticação multifator (MFA).
Uma fonte revelou acreditar que o grupo ShinyHunters está por trás dos recentes ataques por device code phishing via vishing — informação que os próprios atores confirmaram, embora ainda não tenha sido possível verificar de forma independente.
O ShinyHunters foi recentemente associado a ataques de vishing para invasão de contas Okta e Microsoft Entra SSO, utilizados em roubo de dados.
Fontes indicam que esses criminosos usam ataques de engenharia social por vishing, que dispensam infraestrutura controlada pelo invasor.
Em vez disso, exploram formulários legítimos de login da Microsoft e o fluxo padrão de autenticação por device code para invadir contas corporativas.
Um ataque device code phishing ocorre quando o fluxo legítimo OAuth 2.0 Device Authorization Grant é abusado para obter tokens de autenticação da conta Microsoft Entra da vítima.
Com esses tokens, os invasores ganham acesso a recursos do usuário e aplicações SSO associadas, como Microsoft 365, Salesforce, Google Workspace, Dropbox, Adobe, SAP, Slack, Zendesk, Atlassian, entre outras.
Esse fluxo foi criado para facilitar o login em dispositivos com entrada limitada, como IoT, impressoras, dispositivos de streaming e TVs.
Segundo a Microsoft, “a plataforma de identidade suporta o device authorization grant, permitindo que usuários façam login em dispositivos com restrição de input, como smart TVs, dispositivos IoT ou impressoras.
Para isso, o dispositivo solicita ao usuário que acesse uma página da web em outro aparelho para autenticação.
Após o login, o dispositivo pode obter os tokens de acesso e refresh conforme necessário”.
Esse método de autenticação é semelhante ao usado em serviços de streaming como Netflix e Apple TV, nos quais um código curto é exibido para ser inserido em outro dispositivo, conectando o aparelho ao usuário sem a necessidade de digitar a senha diretamente.
Para realizar o ataque, os criminosos precisam do client_id de um app OAuth — que pode ser próprio ou legítimo da Microsoft.
Utilizando ferramentas open source, eles geram um device_code e um user_code vinculados ao app escolhido.
Em seguida, o atacante contata um funcionário-alvo e tenta persuadi-lo a inserir o user_code na página oficial de autenticação da Microsoft (microsoft.com/devicelogin).
Ao digitar o código, o funcionário será solicitado a fazer login e completar o MFA, como em um processo normal.
Após autenticar, a Microsoft exibe o nome do app OAuth que recebeu autorização.
Como podem usar apps legítimos, inclusive oficiais da Microsoft, os invasores conferem maior confiança e credibilidade ao processo, facilitando o engano.
Quando o app OAuth está conectado à conta, os atacantes utilizam o device_code para capturar o refresh token do funcionário, que é trocado por tokens de acesso.
Esses tokens permitem navegar pelos serviços Microsoft do usuário sem repetir a MFA, já que esta foi concluída no login.
Assim, os invasores conseguem se autenticar no Microsoft Entra e acessar aplicações SaaS configuradas com SSO no ambiente da vítima, possibilitando o roubo de dados corporativos para extorsão.
A KnowBe4 Threat Labs identificou uma campanha recente que combina phishing tradicional — por email e sites — com ataques device code.
A campanha foi detectada em dezembro de 2025, utilizando iscas de engenharia social como falsas notificações de configuração de pagamento, alertas de compartilhamento de documentos e supostas mensagens de voz.
A KnowBe4 recomenda que usuários de Microsoft 365 bloqueiem domínios e remetentes maliciosos, auditem e revoguem consentimentos suspeitos de apps OAuth e monitorem logs de sign-in do Azure AD para eventos envolvendo device code.
Administradores também são orientados a desativar o fluxo device code quando não for necessário e aplicar políticas de acesso condicional.
Embora o device code phishing não seja novidade, há histórico recente de ataques usando esse método para invadir contas.
Em fevereiro de 2025, o Microsoft Threat Intelligence Center alertou sobre hackers russos que atacavam contas Microsoft 365 pelo device code phishing.
Em dezembro do mesmo ano, a ProofPoint reportou ataques semelhantes, utilizando kits de phishing parecidos com os da campanha observada pela KnowBe4.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...