Hackers russos exploram OAuth 2.0 para invadir contas do Microsoft 365

Atores de ameaça russos exploram o hack do Microsoft OAuth 365 contas Hackers russos exploraram fluxos de autenticação legítimos do OAuth 2.0 para sequestrar contas do Microsoft 365. À medida que o espaço de cibersegurança evolui com o tempo, os cibercriminosos estão tentando diferentes medidas para atingir suas vítimas.

Recentemente, uma empresa de cibersegurança, Volexity, descobriu e relatou uma série de ciberataques em andamento desde março de 2025.

Hackers russos visam aliados da Ucrânia ao invadir suas contas do Microsoft 365

Dois atores de ameaça russos, rastreados como UTA0352 e UTA0355, visam principalmente contas do Microsoft 365 de indivíduos ligados à Ucrânia e aos direitos humanos, usando táticas de engenharia social altamente direcionadas.

Agora, você deve estar se perguntando como os hackers russos conseguiram atrair a vítima para cair em sua armadilha, certo? Bem, os cibercriminosos primeiro se fazem passar por oficiais europeus ou usam contas do governo ucraniano hackeadas para contatar vítimas via aplicativos de mensagens como WhatsApp e Signal. Volexity-UTA0352-Mensagens-Signal-e-WhatsApp-BG-NATO-UA Imagem: Volexity

Hackers atraem vítimas a clicarem em links maliciosos sem suspeitar

Hackers russos atraem alvos a clicarem em links maliciosos hospedados na infraestrutura da Microsoft ou compartilhando códigos de autorização OAuth. Válidos por 60 dias, esses códigos concedem às vítimas acesso ao seu e-mail e outros recursos do Microsoft 365. volexity-uta0355-Phishing-Email-Govt-Ucrânia Imagem: Volexity Pesquisadores de segurança da Volexity observam: “ Deve-se notar que esse código também apareceu como parte da URI na barra de endereços. O Visual Studio Code parece ter sido configurado para facilitar a extração e o compartilhamento desse código, enquanto a maioria das outras instâncias simplesmente levaria a páginas em branco. ”

Em alguns casos, hackers russos registram novos dispositivos no ID do Microsoft Entra da vítima, contornando a autenticação de dois fatores (2FA). Eles enganam os usuários para aprovarem solicitações falsas de 2FA sob o pretexto de acessar uma instância do SharePoint. Volexity-uta0365-EVS-MFA-Romania-Spoof-1 Imagem: Volexity

Vítimas são improváveis de suspeitar

Como os hackers russos têm usado a própria infraestrutura da Microsoft, é bastante difícil para as vítimas suspeitarem de qualquer jogo sujo. Sem mencionar que esses ataques são bastante diferentes do phishing tradicional. Os atacantes usam redes proxy para imitar a localização da vítima, garantindo que as vítimas não suspeitem de nada errado.

Os códigos OAuth roubados permitem acesso prolongado que capacita os hackers a ler e-mails, acessar arquivos e manter entrada não autorizada. Vale a pena notar que tudo isso é possível mesmo que as vítimas mudem suas senhas.

Volexity, em seu relatório, observa: “ Nos logs revisados pela Volexity, o registro inicial do dispositivo foi bem-sucedido logo após a interação com o atacante. O acesso aos dados de e-mail ocorreu no dia seguinte, que foi quando UTA0355 havia engenheirado uma situação em que sua solicitação de 2FA seria aprovada. ”

Dito isso, esta não é a primeira instância de atacantes abusando dos fluxos de autenticação OAuth. Alguns relatórios recentes destacaram que golpistas estão até abusando do Google OAuth para enviar múltiplos e-mails de phishing para usuários.