Hackers abusam de códigos OAuth e cadastro do Entra IDs para obter acesso persistente a SaaS.
As operações de phishing como serviço habilitadas por IA estão impulsionando um aumento acentuado nos ataques de identidade em 2026, com os agentes de ameaças abusando cada vez mais dos fluxos de autorização de dispositivos OAuth e do registro de dispositivos Microsoft Entra ID para obter acesso permanente a ambientes SaaS.
Jalisco é um kit de ferramentas de phishing que gera códigos OAuth para dispositivos em tempo real e captura os tokens emitidos após a vítima concluir a autenticação no portal de login legítimo da Microsoft.
A técnica não exige que o atacante roube uma senha. Em vez disso, a vítima é persuadida a inserir um código fornecido pelo atacante e aprovar uma solicitação de autenticação, geralmente enquanto visualiza um documento falso ou uma isca de colaboração.
Assim que a vítima se autentica e conclui a autenticação multifator (MFA), o fluxo controlado pelo atacante recupera os tokens de acesso e atualização do provedor de identidade.
Isso concede acesso aos recursos do Microsoft 365 sem acionar muitos dos sinais associados ao roubo de credenciais convencional. Portanto, a simples redefinição de senha pode não ser suficiente para expulsar o invasor.
A ReliaQuest afirmou que a Jalisco utiliza a “geração de isca”, na qual sua API de backend cria um novo código de dispositivo assim que a vítima abre a página de phishing. Isso difere dos kits de código de dispositivo mais antigos, que incorporam um código pré-gerado na isca.
Como os códigos dos dispositivos geralmente expiram após aproximadamente 15 minutos, o provisionamento em tempo real elimina uma restrição operacional significativa e torna as campanhas menos vulneráveis a defesas baseadas em tempo.
O conjunto de ferramentas também inclui um portal de gerenciamento baseado na web, permitindo que os operadores rastreiem as sessões capturadas e gerenciem várias contas comprometidas.
A ReliaQuest identificou duas ferramentas, Jalisco e OmegaLord , que ilustram como a infraestrutura de phishing está sendo redesenhada para burlar a autenticação multifator (MFA) e minar as medidas convencionais de recuperação de contas.
O projeto sugere que o phishing de código de dispositivo está evoluindo de uma técnica operada manualmente para um modelo de serviço escalável.
A janela de login legítima da Microsoft foi aberta por um site de phishing que utiliza um código de dispositivo (Fonte: ReliaQuest).
Segundo relatos, os atacantes estão combinando o roubo de tokens com o registro não autorizado de dispositivos no Microsoft Entra ID.
Códigos OAuth e Entra IDs são usados indevidamente.
Ao registrar endpoints controlados por atacantes em um tenant comprometido, os adversários podem obter um Token de Atualização Primário (Primary Refresh Token, ou PRT) que pode continuar sendo renovado enquanto o dispositivo cadastrado permanecer válido.
Isso cria uma persistência que pode sobreviver à rotação de senhas e ao encerramento de sessões individuais do navegador.
A ReliaQuest observou agentes maliciosos cadastrando mais de cinco dispositivos em uma única conta comprometida, frequentemente usando nomes aparentemente comuns, como “microsoft-” ou “WINDOWS-“.
A janela pop-up do ladrão de informações OmegaLord (Fonte: ReliaQuest).
Cada dispositivo cadastrado aumenta a carga de trabalho de resposta a incidentes: os responsáveis pela segurança devem identificar e remover todos os registros maliciosos, revogar sessões e tokens e validar as configurações de identidade antes de declarar a conta como remediada.
Essa atividade é particularmente preocupante para organizações que dependem do SharePoint, OneDrive, Exchange Online e outros serviços SaaS que contêm informações de clientes, registros de funcionários, dados financeiros e comunicações internas.
A ReliaQuest já havia relatado que os atacantes podem iniciar a exfiltração de dados em apenas seis minutos, deixando pouco tempo para investigação manual antes que os dados roubados sejam usados em tentativas de extorsão.
Um segundo conjunto de ferramentas, o OmegaLord, demonstra um esforço paralelo para burlar a autenticação multifator (MFA) por meio de phishing mais tradicional. O programa, baseado em JavaScript, coleta credenciais, simulando uma página de login de um leitor de PDF e coletando endereços de e-mail, senhas e números de telefone.
A coleta de números de telefone é notável porque pode dar suporte a tentativas de troca de SIM, interceptação de MFA ou engenharia social direcionada contra usuários de verificação por SMS e voz.
Essas ferramentas estão surgindo juntamente com plataformas de phishing como serviço baseadas em IA , como EvilTokens, Kali365, Tycoon2FA, Venom e Darcula.
Essas plataformas podem clonar a identidade visual de um alvo a partir de um URL e implantar páginas de phishing por meio de serviços legítimos, incluindo a plataforma workers[.]dev da Cloudflare.
O uso de domínios de hospedagem em nuvem confiáveis torna as listas de bloqueio simples e os controles de segurança de e-mail baseados em assinatura menos eficazes.
As organizações devem desativar o fluxo de código do dispositivo no Microsoft Entra ID sempre que ele não for operacionalmente necessário.
A Microsoft documenta que os administradores podem bloquear isso por meio de uma política de Acesso Condicional em Condições > Fluxos de autenticação, com escopo para todos os usuários e aplicativos em nuvem, com exceções bem documentadas.
As equipes de segurança também devem auditar os registros de aplicativos, restringir o registro de dispositivos a grupos aprovados e reduzir o limite padrão de registro de dispositivos.
Durante um incidente, os responsáveis pela resposta devem revogar as sessões ativas, invalidar os tokens de atualização, investigar dispositivos recém-registrados, remover endpoints não autorizados e desativar as contas afetadas, quando necessário.
O monitoramento deve priorizar autenticações incomuns de código de dispositivo, inscrições repentinas de dispositivos Entra, atividades anômalas de tokens OAuth e acesso rápido em massa a repositórios SaaS.
COIs
| Artefato | Detalhes |
|---|---|
| aut.planejado[.]online | Domínio do Kit de Códigos de Dispositivos Jalisco |
| grantfundingapplications[.]com | Domínio do Kit de Códigos de Dispositivos Jalisco |
| sessionopen0[.]site | Domínio do Kit de Códigos de Dispositivos Jalisco |
| levaquin2us[.]top | Domínio do Kit de Códigos de Dispositivos Jalisco |
| hxxps://WINGBOARD[.]b-cdn[.]net/PROOF%20OF%20PAYMENT%2022TH[.]html | URL do OmegaLord |
| hxxps://arquivo[.]kiwi/7ab7c290#z_n5Qh8kvioCUs8jQ6WWhw | URL do OmegaLord |
| nuclear-rose-7ci1cmml-dpoaxo1bhyxi[.]edgeone[.]app | Domínio de phishing |
| pebr-gl6z-0vzu-434xz[.]b-cdn[.]net | Domínio de phishing |
| pasta-segura-9f8a2983fbf5479e8d8c267e0df4e73d[.]3vvcompany[.]com | Domínio de phishing |
| 116ec3a1ad128d7d[.]darkwebf[.]workers[.]dev | Domínio de phishing |
Nota: Os endereços IP e domínios são intencionalmente desativados (por exemplo, `example.com` [.]) para evitar resolução acidental ou criação de hiperlinks. Reative-os somente em plataformas de inteligência contra ameaças controladas, como MISP, VirusTotal ou seu SIEM.
Fonte: GBHackers
Clique e fale com representante oficial Netwrix Endpoint Protector
Veja também:
- Por que a transformação digital falha quando as pessoas não mudam o jeito de trabalhar
- IA agêntica: três prioridades inegociáveis para CISOs
- Brasil ultrapassa 4 mil ciberataques semanais por organização
- Shadow AI avança nas empresas e expõe novo desafio de governança corporativa
- Dados de 500mil pacientes vaza na Organização Social ISAC
- ALERTA DE CIBERINTELIGÊNCIA: Suposto Incidente Crítico no Setor de Meios de Pagamento no Brasil
- Percepções de projetos de avaliação de comprometimento
- Alerta sobre ciberataques “industrializados”
- 10 melhores soluções criptográficas pós-quânticas em 2026
- Melhores ferramentas de pentest para testes internos versus externos
- Alerta sobre uma falha crítica no Splunk Enterprise
- Monitoramento de Conformidade reduz risco de Segurança Cibernética



Be the first to comment