Novo golpe de vishing mira cadastro de passkeys em usuários do Microsoft 365
9 de Julho de 2026

Um threat actor vem mirando organizações de vários setores com falsas solicitações de segurança por voz, pedindo que usuários do Microsoft 365 cadastrem uma nova passkey do Entra.

O atacante está explorando um recurso que a Microsoft liberou para administradores em maio, permitindo executar campanhas de “registro de passkeys” para incentivar usuários a adotar esse método de autenticação mais seguro.

A campanha está ativa desde abril e consiste em ligar para usuários-alvo e tentar convencê-los a registrar uma nova passkey sob o controle do atacante.

Para disfarçar a fraude, o hacker direciona as vítimas para um kit de phishing que imita o processo legítimo de cadastro de passkeys da Microsoft.

A empresa de gerenciamento de identidade e acesso na cloud Okta atribui a atividade a um ator acompanhado como O-UNC-066, ligado a uma operação de extorsão conhecida como Pink.

Segundo a Okta, o O-UNC-066 tem como alvo usuários de organizações dos setores de alimentos e bebidas, tecnologia, saúde, automotivo, construção e aviação.

Durante a campanha, funcionários selecionados recebem ligações telefônicas com o pretexto de que precisam cadastrar uma nova passkey do Microsoft Entra por motivos de segurança e são direcionados para URLs de phishing que contêm a palavra “passkey” no nome de domínio.

Os sites maliciosos usam a identidade visual da organização da vítima e reproduzem o portal real de cadastro de passkeys do Entra.

Diferentemente do proxy adversário-no-meio, ou AiTM, mais comum, o kit é um painel PHP controlado pelo operador, no qual o atacante conduz a vítima pelo processo de phishing em tempo quase real, ajustando o fluxo de acordo com o método de autenticação multifator, ou MFA, utilizado.

Segundo a Okta, o kit de phishing é um painel PHP controlado pelo operador, no qual um threat actor conduz as vítimas por várias etapas de autenticação em quase tempo real, usando um mecanismo de sondagem de pulsação de 1 segundo.

O operador pode usar o kit para adaptar a experiência do usuário aos requisitos de MFA de cada vítima, como TOTP, notificação push com correspondência de números e OTP por SMS, durante a sessão.

As credenciais e as respostas de MFA inseridas pela vítima nas telas do kit são repassadas ao operador, que as usa para autenticar-se na conta Microsoft da vítima.

Enquanto a vítima acredita estar registrando uma nova passkey em sua conta, o atacante, na prática, está cadastrando uma passkey sob seu controle.

Depois de obter acesso, o site de phishing exibe à vítima páginas falsas de cadastro de passkeys com a marca Microsoft, pedindo que ela salve uma frase de recuperação BIP-39 falsa e confirme uma palavra dessa frase.

A Okta observa que frases-semente BIP-39 não têm qualquer papel no cadastro legítimo de passkeys do Microsoft Entra, mas podem servir como distração para usuários que não conhecem bem o processo.

Segundo a Palo Alto Networks Unit 42, a Pink é uma nova marca de extorsão associada à rede descentralizada de threat actors conhecida como The Com, abreviação de The Community.

O grupo é conhecido por usar vishing, ou phishing por voz, e por se passar por profissionais de TI para coletar credenciais e códigos de MFA, usados em ataques para roubar dados corporativos.

O grupo Pink lançou um site de extorsão em 31 de maio, onde publica amostras de dados roubados para pressionar as vítimas comprometidas a pagar resgate.

Pesquisadores afirmam que, depois de acessar a conta da vítima, a Pink age rapidamente para exfiltrar dados dos serviços SharePoint e OneDrive.

Brad Duncan, principal pesquisador de ameaças da Palo Alto Networks Unit 42, observou no início de junho que alguns dos domínios de phishing usados pela Pink incluíam a palavra “passkey”.

A Okta recomenda que as organizações criem métodos melhores para verificar a identidade de equipes de suporte técnico ao entrar em contato com usuários e também neguem solicitações vindas de localidades onde a empresa não oferece serviços.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...