A Microsoft revelou uma nova campanha de ataques cibernéticos conduzida por um grupo identificado como Storm-2372, vinculado a interesses russos. Desde agosto de 2024, os ataques têm como alvo diversos setores estratégicos, incluindo governos, ONGs, tecnologia da informação, defesa, telecomunicações, saúde, educação e energia, atingindo vítimas na Europa, América do Norte, África e Oriente Médio. Os cibercriminosos utilizam uma técnica avançada de phishing chamada “Device Code Phishing”, na qual induzem as vítimas a fazer login em aplicativos de produtividade enquanto os hackers capturam os tokens de autenticação.

Isso lhes permite acessar contas comprometidas sem precisar da senha original, explorando a validade dos tokens para manter um acesso persistente ao ambiente da vítima. Para enganar os alvos, os invasores entram em contato por WhatsApp, Signal e Microsoft Teams, fingindo ser figuras influentes relacionadas ao setor da vítima. Muitas vezes, os ataques começam com e-mails de phishing disfarçados de convites para reuniões no Microsoft Teams. Quando o usuário clica no link e insere as credenciais, ele está, na verdade, autenticando um código de dispositivo gerado pelos hackers, permitindo que os invasores assumam a sessão autenticada.

Uma vez dentro da conta da vítima, os invasores usam os tokens roubados para acessar outros serviços vinculados, como email e armazenamento em nuvem, sem a necessidade de digitar uma senha novamente. Além disso, eles exploram o acesso para se movimentar lateralmente dentro da organização, enviando novas mensagens fraudulentas a outros usuários a partir da conta já comprometida. A Microsoft reforça a necessidade de adoção de medidas de segurança rigorosas, como autenticação multifator (MFA), restrições no uso de tokens e monitoramento contínuo de atividades suspeitas.