A Microsoft alertou sobre um novo grupo de ameaças chamado Storm-2372, ligado a ataques cibernéticos direcionados a diversos setores desde agosto de 2024. Entre os alvos estão governos, ONGs, empresas de tecnologia e TI, defesa, telecomunicações, saúde, educação superior e energia, abrangendo regiões como Europa, América do Norte, África e Oriente Médio. Os invasores, que a Microsoft avalia com confiança média como alinhados a interesses russos, utilizam aplicativos de mensagens como WhatsApp, Signal e Microsoft Teams para se passar por figuras influentes e ganhar a confiança das vítimas.

A técnica utilizada nos ataques é o device code phishing, que engana usuários para que façam login em aplicativos de produtividade enquanto os criminosos capturam os tokens de autenticação gerados. Com esses tokens, os invasores conseguem acessar as contas comprometidas sem precisar de senha, explorando dados sensíveis e garantindo presença contínua no ambiente da vítima enquanto o token permanecer válido. O golpe começa com e-mails de phishing disfarçados de convites para reuniões no Microsoft Teams. Quando os alvos clicam no link, são solicitados a autenticar um código gerado pelos atacantes. Ao inserir esse código em uma página legítima de login, sem perceber, a vítima concede aos hackers acesso à sua conta.

Os invasores então usam esses tokens para se movimentar lateralmente dentro das redes, enviando novos e-mails de phishing a partir das contas comprometidas. Além disso, a ferramenta Microsoft Graph é usada para buscar mensagens que contenham termos como username, password, admin, credentials, secret, gov, entre outros. Os e-mails correspondentes são exfiltrados e acessados pelos criminosos. Para mitigar o risco desse ataque, a Microsoft recomenda bloquear o fluxo de autenticação por código de dispositivo sempre que possível, implementar autenticação multifator resistente a phishing e adotar o princípio do menor privilégio no acesso a sistemas.