A Microsoft Digital Crimes Unit (DCU) anunciou uma ação conjunta com a Cloudflare para apreender 338 domínios relacionados ao RaccoonO365, um grupo criminoso focado em ganhos financeiros.
Esse grupo oferecia um toolkit de phishing-as-a-service (PhaaS) usado para roubar mais de 5.000 credenciais do Microsoft 365 em 94 países desde julho de 2024.
Com base em uma ordem judicial da Corte Distrital do Sul de Nova York, a DCU conseguiu tomar o controle dos sites associados ao serviço, interrompendo a infraestrutura técnica da operação e bloqueando o acesso dos criminosos às vítimas, explicou Steven Masada, assistente jurídico da DCU.
Ele ressaltou que esse caso demonstra que não é necessário ser um hacker sofisticado para causar danos em grande escala.
Ferramentas simples como o RaccoonO365 tornam o cibercrime acessível para praticamente qualquer pessoa, colocando em risco milhões de usuários.
A primeira etapa da derrubada das operações pela Cloudflare começou em 2 de setembro de 2025, com ações adicionais nos dias 3 e 4.
Isso incluiu o bloqueio de todos os domínios identificados, a inserção de páginas de alerta contra phishing (phish warning) antes do acesso, além da desativação dos scripts Workers vinculados e a suspensão das contas de usuários envolvidos.
Todo o processo foi concluído em 8 de setembro.
Registrado pela Microsoft sob o codinome Storm-2246, o RaccoonO365 é oferecido a outros cibercriminosos por meio de um modelo de assinatura, permitindo ataques em grande escala para coleta de credenciais sem exigir conhecimento técnico avançado.
O plano mensal custa US$ 355 e o trimestral, US$ 999.
Os operadores do serviço garantem que as ferramentas estão hospedadas em servidores “bulletproof” — com alta resistência a remoções — e que não há backdoors ocultos, diferenciando-se de outras plataformas, como o BulletProofLink.
O serviço é descrito como “feito para jogadores sérios, nada para freeloaders de baixo orçamento”.
Desde setembro de 2024, campanhas usando o RaccoonO365 têm se espalhado em diversos ataques que simulam marcas confiáveis, como Microsoft, DocuSign, SharePoint, Adobe e Maersk.
Esses ataques enviam e-mails fraudulentos que induzem as vítimas a clicarem em páginas falsas quase idênticas às originais, onde são capturados seus nomes de usuário e senhas do Microsoft 365.
Frequentemente, esses golpes são o ponto de partida para a instalação de malware e ransomware.
Um ponto preocupante para especialistas em defesa é o uso de ferramentas legítimas, como o Cloudflare Turnstile, para implementar CAPTCHAs, além do emprego de scripts automatizados (Cloudflare Workers) para detectar bots e automatizações.
Isso limita o acesso às páginas de phishing apenas aos alvos desejados, dificultando a ação de equipes de resposta e pesquisadores.
Em abril deste ano, a Microsoft havia alertado sobre campanhas de phishing com temas relacionados a impostos que usavam malware como Latrodectus, AHKBot, GuLoader e BruteRatel C4 (BRc4).
Muitas dessas campanhas aconteciam via RaccoonO365, com um grupo conhecido como Storm-0249 atuando como broker de acesso inicial.
Essas campanhas já atacaram mais de 2.300 organizações nos Estados Unidos, incluindo pelo menos 20 instituições do setor de saúde.
Segundo a Microsoft, quem contrata o serviço RaccoonO365 pode direcionar até 9.000 e-mails por dia e utilizar técnicas avançadas para burlar a autenticação multifator, roubando credenciais e mantendo acesso prolongado aos sistemas das vítimas.
Recentemente, o grupo começou a anunciar um novo serviço alimentado por inteligência artificial, o RaccoonO365 AI-MailCheck, que promete ampliar a escala e sofisticação dos ataques.
A liderança do RaccoonO365 é atribuída a Joshua Ogundipe, residente na Nigéria.
Ele e seus associados promovem a ferramenta em um canal no Telegram com cerca de 850 membros, recebendo pagamentos em criptomoedas que somam pelo menos US$ 100 mil.
Acredita-se que já foram vendidas entre 100 e 200 assinaturas, embora a Microsoft entenda que esse número seja subestimado.
A investigação da Microsoft avançou graças a uma falha operacional que expôs inadvertidamente uma carteira de criptomoedas secreta.
Ogundipe e outros quatro cúmplices seguem foragidos, mas a empresa enviou um pedido de ação criminal a órgãos internacionais de aplicação da lei.
A Cloudflare, em sua análise, afirmou que a derrubada dos domínios e das contas Worker busca aumentar os custos operacionais dos criminosos, além de enviar um recado firme a outros atores maliciosos que possam tentar usar sua infraestrutura.
Após a interrupção, os operadores do RaccoonO365 anunciaram o cancelamento dos links antigos, sugerindo que os clientes migrem para um novo plano, prometendo uma semana extra de assinatura como compensação pela transição.
A Cloudflare definiu essa ação como uma mudança estratégica, deixando de focar em derrubadas reativas e pontuais de domínios isolados para promover uma desarticulação ampla e proativa da infraestrutura dos criminosos em sua plataforma.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...