Radar de Ameaças de Email — Junho 2026
As últimas ameaças de e-mail: phishing de login real da Microsoft, esquemas de códigos de dispositivos com um interruptor de desativação, ataques de clique dividido e a mudança para entrega de malware
No último mês, os investigadores da Barracuda observaram as seguintes ameaças de e-mail a visar organizações e seus funcionários:
- Phishing de login real da Microsoft usado para roubar tokens de sessão no ataque Tycoon 2FA
- Anexos PDF usados para phishing de código de dispositivo com um interruptor de desativação incorporado
- Ataque de phishing ‘split-click’ Sneaky 2FA onde um botão tem dois resultados
- Mudança de roubo de credenciais para entrega de malware em campanhas de phishing
Página de login real da Microsoft usada para capturar tokens de sessão no ataque Tycoon 2FA
Como funciona o ataque
Os atacantes estão a usar uma página de login genuína da Microsoft em vez de uma versão falsa para intercetar os tokens de sessão e permissões de acesso dos utilizadores, permitindo-lhes aceder ao e-mail, ficheiros online e serviços Microsoft 365 ligados da vítima.
Os utilizadores recebem um aviso que parece legítimo de que a sua caixa de entrada está quase cheia, com um convite de calendário para uma reunião com a segurança da Microsoft. A reunião não é mencionada no corpo principal do e-mail, que apresenta um botão para libertar e-mails que foram retidos.
O botão é um convite de calendário que liga a uma página de login genuína da Microsoft — mas uma que é encaminhada através da plataforma Tycoon 2FA phishing-as-a-service. Em essência, os atacantes registaram a sua própria conta Microsoft e estão a pedir à vítima para introduzir os seus dados nela.
Exemplo do e-mail de ataque com o botão que os leva à verdadeira página de login da Microsoft
O utilizador insere as suas credenciais e recebe um token de sessão, que é capturado pelos atacantes.
Numa etapa suplementar, as vítimas são convidadas a introduzir novamente as suas credenciais, mas desta vez numa página falsa — permitindo aos atacantes roubar também a sua palavra-passe.
As técnicas utilizadas nesta campanha baseada em Tycoon 2FA ajudam a aumentar as chances de sucesso dos atacantes:
- A maioria dos ataques de phishing depende de páginas de imitação. Aqui, os atacantes utilizam um domínio genuíno da Microsoft, que contorna muitos controlos de segurança e pode até enganar funcionários treinados para identificar URLs falsificados.
- A captura de tokens de sessão e permissões OAuth fornece aos atacantes acesso imediato e persistente.
- Os convites de calendário são um vetor de ataque raramente monitorizado, tornando-os altamente eficazes para contornar as defesas tradicionais de e-mail.
Para equipas mais técnicas:
A fase de autorização OAuth armada envolve a vítima a ser redirecionada para uma autorização OAuth Microsoft legítima registada pelos atacantes. Os investigadores observaram o seguinte:
Código de ataque para a intercepção de credenciais pelo adversário-no-meio de uma página de login real da Microsoft
- client_id ‘16d628a6-9445-4210-8e5b-527b7c9c6191’: Esta é uma aplicação maliciosa registada no Microsoft Entra pelos atacantes. Solicita permissões limitadas ao Outlook e inclui ‘offline_access’, que concede um token de atualização para acesso persistente.
- PKCE (code_challenge): O uso de um desafio de código S256 mostra que a infraestrutura dos atacantes suporta Proof Key for Code Exchange (PKCE), tornando o fluxo OAuth ainda mais legítimo e consistente com os padrões modernos de autenticação.
PDFs abusados para ataques de phishing de código de dispositivo com interruptor de desativação embutido
Como funciona o ataque
Os atacantes removeram links suspeitos do corpo principal do e-mail de phishing e colocaram-nos num anexo PDF onde é menos provável que sejam detetados por scanners de URLs.
Na campanha observada pelos investigadores da Barracuda, o e-mail pede ao destinatário para abrir um anexo relacionado com uma questão de conformidade ou de pagamento. Um link no PDF leva os utilizadores a um fluxo de autenticação de dispositivo falso que captura as suas credenciais e endereço de e-mail empresarial.
Exemplo de e-mail de phishing de código do dispositivo Tycoon 2FA
Anteriormente, relatado ataques de phishing de código de dispositivo utilizaram APIs reais da Microsoft. Nesta campanha, os atacantes geram códigos de dispositivo falsos localmente no navegador, imitando o fluxo de autorização de código de dispositivo legítimo que as vítimas reconhecerão ao ligar aplicações e dispositivos às suas contas Microsoft.
O uso de CAPTCHA bloqueia a varredura automatizada e a deteção de sandbox e garante que apenas utilizadores reais alcancem a fase de phishing.
A campanha também é notável pela sua infraestrutura de curta duração. As páginas de phishing expiram automaticamente e desaparecem após um período definido. Isto limita a análise forense ou a deteção pós-evento.
Código de ataque a mostrar as instruções de expiração para a página de phishing
Ataque Sneaky 2FA apresenta rara técnica de "split-click" onde um botão tem dois resultados
Como funciona o ataque
Investigadores da Barracuda encontraram um ataque por e-mail com um único botão que se comportava de forma diferente dependendo de onde o utilizador clicasse.
O e-mail alerta os utilizadores de que a sua caixa de correio está cheia e a mensagem inclui um botão “Resolver Problema”.
Clicar na metade superior do botão abre uma página legítima da Microsoft, enquanto clicar na metade inferior aciona um redirecionamento malicioso.
A opção maliciosa abre um URL blob (uma página web gerada pelo navegador) que redireciona através de um link para uma página de phishing pertencente à plataforma de phishing como serviço Sneaky 2FA. É aqui que os atacantes capturam credenciais e outras informações sensíveis.
A interação de clique dividido é uma técnica raramente vista. É usada para evitar a análise automática de links e garantir que as ferramentas de teste só vejam a versão segura.
Os URLs de Blob são gerados dinamicamente pelo navegador e são mais difíceis de inspecionar ou bloquear usando ferramentas tradicionais.
Táticas emergentes: Phishing muda de captura de credenciais para malware
Um JavaScript esteganográfico disfarçado como um PDF inofensivo
Os investigadores da Barracuda descobriram um ataque de phishing onde o típico download de ‘fatura falsa’ acaba por ser um script malicioso. O e-mail de ataque parece ser uma notificação de fatura de rotina, apresentando às vítimas um link para um documento falso chamado “Invoice.pdf (11.3 KB).”
No entanto, em vez de entregar uma fatura, o link aciona o download de um ficheiro JavaScript malicioso. O script esconde o seu código malicioso no documento falso utilizando esteganografia e ofuscação. Uma vez executado, pode carregar malware adicional, recolher informações do sistema, estabelecer persistência e comunicar com a infraestrutura controlada por atacantes.
Ataque de falsificação de identidade entrega malware sem ficheiros
Nesta campanha, os atacantes imitam a Administração da Segurança Social para distribuir um ficheiro JavaScript malicioso disfarçado de PDF de recibo de pagamento. O script fortemente ofuscado reconstrói um URL oculto, recupera uma carga útil de segunda fase de um servidor remoto e executa-a diretamente na memória utilizando componentes Windows ActiveX.
Ao evitar a gravação de ficheiros e aproveitar a execução na memória, o malware reduz a sua visibilidade perante as ferramentas de segurança tradicionais e pode ser usado para entregar roubadores de credenciais, trojans bancários ou outras cargas maliciosas.
Imitação multi-etapa da Microsoft para aumentar a falsificação
Os investigadores também observaram um ataque onde um ficheiro HTML levou o destinatário a um falso OneDrive, que por sua vez os levou a um login do Excel. Este tipo de redirecionamento em várias etapas melhora as taxas de sucesso do roubo de credenciais ao esconder eficazmente a intenção maliciosa.
Como se proteger contra estes ataques
- Proteger identidades e tokens de sessão, não apenas palavras-passe.
- Estenda a deteção para além do e-mail para calendário, anexos e fluxos de login.
- Utilize a deteção comportamental para capturar ataques evasivos.
- Invista na proteção de anexos e endpoints contra ameaças sem arquivo e incorporadas.
- Ativar resposta rápida, pois os ataques são de curta duração e difíceis de rastrear.
- Atualizar a formação para refletir técnicas de phishing do mundo real que agora contornam os controlos tradicionais.
Relatório de Ameaças de E-mail de 2026
Saiba como a IA e o phishing como serviço estão a remodelar o panorama das ameaças de e-mail e como se proteger.
Subscreva o Blogue Barracuda.
Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.
O Relatório de Ameaças Globais XDR Gerido
Principais conclusões sobre as táticas que os atacantes utilizam para atacar as organizações e as vulnerabilidades de segurança que tentam explorar.