Threat Spotlight: Desvendando um novo kit de phishing furtivo que tem como alvo o Microsoft 365

As plataformas de Phishing-as-a-Service (PhaaS) dominam o panorama de ameaças por e-mail. As mais proeminentes são plataformas sofisticadas e bem financiadas que oferecem ferramentas, infraestrutura e suporte em troca de pagamento ou de uma parte dos lucros. Elas continuam a evoluir, e novos desafiantes estão a surgir à procura de uma parte do dinheiro.

Os analistas de ameaças da Barracuda têm acompanhado um desses concorrentes desde julho de 2025. A Barracuda chamou a este kit de Whisper 2FA devido à sua abordagem furtiva e persistente ao roubo de credenciais.

No último mês, a Barracuda viu perto de um milhão de ataques Whisper 2FA a contas em várias grandes campanhas de phishing, o que faz do Whisper o terceiro PhaaS mais comum após Tycoon e EvilProxy.

Existem semelhanças com o Salty 2FA, um novo PhaaS com foco no roubo de credenciais do Microsoft 365 reportado recentemente pela AnyRun. Ambos são coletores de credenciais bem ofuscados com funcionalidades anti-depuração, anti-análise e de imitação de marca. O nosso foco neste artigo são as diferentes variantes da ameaça, a sua rápida evolução e o seu fluxo de autenticação.

O ciclo de roubo de credenciais

A característica definidora do Whisper 2FA é a sua capacidade de roubar credenciais várias vezes através de um loop de exfiltração de credenciais em tempo real, habilitado por uma tecnologia web conhecida como AJAX (JavaScript Assíncrono e XML).

O AJAX permite que os websites atualizem informações em tempo real sem precisarem de recarregar a página inteira. É a tecnologia que faz com que funcionalidades como chat ao vivo, sugestões de pesquisa instantâneas e painéis dinâmicos sejam rápidos e fluídos.

Os atacantes mantêm o ciclo em andamento até obterem um token de autenticação multifator válido.

Múltiplas iscas

Os analistas de ameaças encontraram uma ampla gama de e-mails de phishing que levavam ao Whisper 2FA, rodando marcas conhecidas e confiáveis e pretextos urgentes para maximizar o seu sucesso.

Abaixo está uma imagem combinada de quatro iscas de phishing recentes ligadas ao Whisper 2FA, com DocuSign, Correio de voz, Adobe e 'Fatura'.

A evoluir rapidamente

O kit de phishing Whisper 2FA está a evoluir rapidamente tanto em complexidade técnica como em estratégias de anti-detecção.

Primeiras variantes

• O código fonte HTML/JavaScript apresenta fragmentos de texto aleatórios. Estes incluem comentários adicionados pelo programador, como referências a fitness ou comida. Pode também ser uma assinatura pessoal do programador a dizer: Eu criei isto.
• O código está ofuscado, mas ainda é relativamente fácil de rastrear. Existem menos camadas de codificação do que em variantes mais recentes.
• O código inclui verificações para prevenir a análise de segurança, mas são menos agressivas do que as observadas em variantes posteriores, concentrando-se principalmente em desativar o clique com o botão direito/menu de contexto.

Variantes atuais

• Os comentários foram removidos, eliminando pistas legíveis por humanos e tornando a análise estática mais difícil.
• A ofuscação tornou-se mais densa e em várias camadas, com funções de descodificação Base64 repetidas (o que sugere que os dados originais foram codificados em sequências de letras, números e símbolos várias vezes).

• Novas proteções foram adicionadas para dificultar a análise ou manipulação do sistema por parte dos atacantes defensores. Estas incluem truques para detetar e bloquear ferramentas de depuração, desativar atalhos usados por desenvolvedores e causar falhas em ferramentas de inspeção manipulando o comportamento do navegador.
• Verificações mais rigorosas baseadas em sessões e lógica de exfiltração de autenticação multifator (MFA), onde tokens e OTPs (palavras-passe de uso único) são validados em tempo real através dos sistemas de comando e controlo (C2) do atacante.
• Verificações melhoradas para validar instantaneamente os códigos de login e tokens intercetados através dos sistemas C2 dos atacantes.

Análise técnica detalhada

Nesta secção, analisamos o funcionamento interno do kit de phishing Whisper 2FA, focando em como ele gere o fluxo de autenticação.

1. Ofuscação com Base64 +XOR

No centro do Whisper 2FA está uma rotina de codificação simples mas eficaz:

Ofuscação com Base64 + XOR disfarça os dados e torna-os difíceis de detetar ou decifrar.

Primeiro, os dados são convertidos num formato codificado (Base64) que se assemelha a texto aleatório. Em seguida, são embaralhados com uma operação matemática (XOR). Esta abordagem é frequentemente utilizada em malware ou evasão de segurança para tornar os dados roubados ou o código malicioso mais difíceis de detectar. Ajuda a atrasar a análise e a evitar deteções estáticas por ferramentas de segurança que procuram domínios de phishing codificados ou elementos HTML.

A função funciona em duas etapas:

• Decodificação Base64: Como mencionado acima, isto envolve converter texto regular num formato de aparência embaralhada usando apenas letras, números e alguns símbolos. A codificação Base64 é fácil de reverter, se necessário. Neste caso, a string de entrada 's' é primeiro decodificada de Base64, produzindo uma sequência de bytes brutos.
• mascaramento XOR: Este é um método de encriptação simples que compara cada letra ou número na mensagem com uma chave secreta e, em seguida, altera-o de acordo com uma regra que encripta cada byte de dados contra uma chave repetida (14cf6ff11206b4e94bee33a2ec0e6a51), que é representada por 'Var K =' e é única para cada página de phishing.

2. Anti-análise e anti-depuração

As variantes mais recentes do Whisper 2FA esforçam-se bastante para impedir a inspeção e análise da página de phishing.

O código utiliza a abordagem de ofuscação de codificação Base64 e XOR para ocultar palavras-chave como "Keydown" e "F12", tornando mais difícil para os analistas detetarem ou compreenderem o que o código está a fazer.

Inclui também várias técnicas anti-análise que bloqueiam as formas como a maioria das pessoas inspeciona páginas web. Por exemplo, desativa atalhos de teclado como Ctrl+Shift+I, Ctrl+Shift+J, Ctrl+Shift+C (usados para abrir ferramentas de desenvolvedor), Ctrl+U (usado para ver o código-fonte da página), Ctrl+S (usado para guardar a página) e o clique direito (usado para abrir o menu de contexto).

Uma tática mais agressiva utilizada é o loop infinito do depurador, também conhecido como Watchdog Loop. Se alguém abrir as ferramentas de desenvolvedor, o código é executado indefinidamente, fazendo com que a aba do navegador congele até ser fechada manualmente.

Além disso, o código malicioso do Whisper 2FA utiliza truques de consola que detetam quando alguém interage com a página através da consola do navegador. Se isso acontecer, o conteúdo da página é apagado, impedindo uma análise posterior.

Whisper 2FA utiliza um truque engenhoso para bloquear a análise. Cria um objeto de imagem falso e altera o funcionamento da sua propriedade ID. Se alguém tentar visualizar este objeto, como ao utilizar as ferramentas de desenvolvimento do navegador, desencadeia um comando que limpa instantaneamente a página web, tornando-a em branco.

Durante a fase de vinculação dos campos do formulário, o código liga secretamente cada campo de entrada, como e-mail, palavra-passe, códigos de uso único (OTP) ou tokens de MFA, a funções ocultas. Estas funções enviam automaticamente os dados para o servidor do atacante, independentemente de como o utilizador os submeta, seja ao pressionar Enter ou ao clicar em botões como “Seguinte”, “Iniciar Sessão” ou “Submeter”.

Todo o processo é feito para se parecer com um formulário de login normal, para que a vítima não suspeite de nada. Entretanto, os seus dados de login e códigos de segurança estão a ser roubados em segundo plano.

3. Submissão de credencial

A função chamada _e3834047() controla como o kit de phishing lida com os detalhes de login da vítima e prepara-se para roubar o seu código MFA.

Assim que a vítima introduz o seu e-mail e palavra-passe no formulário de login falso, a função verifica primeiro se uma etapa de validação oculta é bem-sucedida (usando _c896d0b0()). Se for, o kit captura o e-mail (chamado “ordenação”) e a palavra-passe (chamada “adjuração”) usando seletores ocultos. Estes seletores estão disfarçados, mas apontam para os campos de entrada reais no formulário quando a página é executada.

Em seguida, a interface do utilizador é alterada para parecer que algo está a acontecer, como aconteceria durante um processo de login real. Um ícone de carregamento aparece, o ecrã escurece e o formulário de login desaparece. Isto engana a vítima, fazendo-a pensar que o seu login está a ser processado normalmente.

Nos bastidores, as credenciais roubadas são enviadas para o servidor do atacante através de um pedido AJAX. Mas em vez de enviar os dados em texto simples, o kit envolve-os numa função chamada _860ac295, que os codifica utilizando Base64 e XOR. Também utiliza uma chave de sessão (chamada "viscous") para tornar a codificação única. Isto dificulta a deteção imediata do roubo de detalhes de login por parte de qualquer pessoa a monitorizar a rede.

4. Exfiltração de MFA

Após roubar as credenciais de login da vítima, Whisper 2FA transita para uma fase mais avançada: recolha de MFA em tempo real.

Se a conta da vítima requerer um código SMS ou um código de uma aplicação de autenticação, o kit de phishing ativa um modo de captura manual. O backend do atacante envia um novo token de sessão juntamente com instruções para que a página de phishing exiba um campo de entrada para o código MFA.

Assim que a vítima insere o seu código e clica em submeter, a página de phishing envolve o código numa carga útil ofuscada e envia-o para o servidor C2 do atacante. Este pedido inclui detalhes da operação como op: 'Vx' (verificar) e serviço: 'c' (entrada manual). O atacante então utiliza imediatamente o código para tentar um login real. Se o código funcionar, a página de phishing continua como se o login tivesse sido bem-sucedido, mantendo a vítima convencida. Se o código falhar, a página pede educadamente à vítima para tentar novamente. Este loop permite tentativas ilimitadas, mantendo a vítima envolvida até que um código válido seja capturado.

Este design é particularmente perigoso porque não rouba apenas um único código MFA — atua como um retransmissor ao vivo, validando cada código em tempo real e continuando até que o atacante consiga iniciar sessão com sucesso. Para os defensores, isso significa que mesmo códigos expirados ou incorretos não interrompem o ataque, uma vez que o kit de phishing continua a solicitar à vítima até obter um código funcional.

5. Métodos de MFA

Na fase de seleção de MFA, o kit de phishing recebe uma lista de métodos de MFA disponíveis do servidor do atacante. Esta lista está codificada em Base64 e contém opções como notificações push, SMS, chamadas de voz ou códigos gerados por aplicação. Cada método é exibido como um mosaico clicável na página de phishing. Quando a vítima seleciona um método, a função “heavenward” (método) é acionada. Ela mostra um ícone de carregamento, limpa a tela e envia um pedido POST para o servidor do atacante com o método selecionado, um token de sessão e outros detalhes da operação.

Esta fase permite que o Whisper 2FA se adapte a qualquer método de MFA que a conta da vítima utilize. Em seguida, captura o OTP ou aguarda a aprovação do push, completando a evasão em tempo real.

Conclusão

A campanha de phishing Whisper 2FA demonstra como os kits de phishing evoluíram de simples ladrões de credenciais para plataformas de ataque sofisticadas e completas. Ao combinar fluxos de login realistas, interação do utilizador perfeita e interceptação de MFA em tempo real, o Whisper 2FA torna extremamente difícil para os utilizadores e equipas de segurança detetar fraudes.

Ao contrário dos kits de phishing tradicionais que param após a recolha de nomes de utilizador e palavras-passe, o Whisper 2FA vai mais longe. Valida sessões em tempo real, interceta códigos MFA e utiliza técnicas avançadas anti-análise para evitar deteção. Este nível de sofisticação reflete o aumento do Phishing-as-a-Service (PhaaS), onde os kits são desenvolvidos profissionalmente, atualizados regularmente e vendidos ou alugados a atacantes.

Whisper 2FA destaca-se dos kits PhaaS proeminentes como o EvilProxy de várias maneiras:

• Exfiltração simplificada: Evita proxies reversos complexos e, em vez disso, utiliza pedidos AJAX leves para roubar credenciais e tokens MFA, tornando-o mais fácil de implementar e mais difícil de detetar.
• Análise anti-agressiva: Inclui múltiplas camadas de ofuscação, coloca armadilhas para ferramentas de depuração e bloqueia atalhos comuns de inspeção, tornando difícil a análise por investigadores e ferramentas de segurança.

Esta combinação de simplicidade para atacantes e complexidade para defensores torna o Whisper 2FA uma ameaça séria e crescente.

À medida que os kits de phishing como este continuam a evoluir, as organizações precisam de ultrapassar as defesas estáticas e adotar estratégias em camadas: formação de utilizadores, MFA resistente a phishing, monitorização contínua e partilha de inteligência sobre ameaças. Só assim os defensores poderão acompanhar o ritmo da inovação incessante que estamos a ver em campanhas de phishing como o Whisper 2FA.