A confiança em URLs legítimas voltou a ser explorada por cibercriminosos em uma nova campanha revelada pela Microsoft em março de 2026. O alerta detalha um sofisticado abuso de redirecionamento OAuth para infectar organizações, especialmente entidades governamentais. A técnica utiliza fluxos legítimos de autenticação para enganar usuários e obter acesso persistente a ambientes corporativos.
Diferentemente de campanhas tradicionais baseadas apenas em páginas falsas, o ataque se apoia na infraestrutura real de autenticação da Microsoft. Isso significa que a vítima pode visualizar uma URL autêntica durante o login, reduzindo drasticamente a suspeita. O resultado é um vetor de comprometimento silencioso, difícil de detectar e altamente eficaz.
O cenário se agrava porque os invasores combinam engenharia social, aplicativos maliciosos registrados em ambientes corporativos e execução de cargas complexas no endpoint. O fluxo vai muito além do simples roubo de senha, envolvendo tokens legítimos, execução via PowerShell, técnicas de DLL sideloading e comunicação com servidores de comando e controle.
Como funciona o abuso de redirecionamento OAuth
O OAuth é um protocolo amplamente utilizado para permitir que aplicações acessem recursos em nome do usuário sem expor credenciais diretamente. Em ambientes empresariais integrados ao Entra ID, ele é essencial para autenticação moderna e integrações com serviços em nuvem.
Durante o fluxo padrão, o usuário é redirecionado para a página oficial de login. Após autenticação bem-sucedida, o sistema envia um token para uma URL de redirecionamento previamente cadastrada pelo aplicativo.
O problema surge quando criminosos registram aplicativos maliciosos ou comprometem aplicativos legítimos. Ao configurar uma URL de redirecionamento sob seu controle, eles passam a capturar tokens autorizados. Esse abuso de redirecionamento OAuth transforma um mecanismo legítimo em porta de entrada para invasão.
O usuário acredita estar apenas concedendo acesso a um serviço corporativo comum. Na prática, está autorizando um aplicativo controlado por atacantes.
A armadilha do parâmetro de estado
No fluxo do OAuth, o parâmetro “state” tem a função de proteger contra ataques de falsificação de requisição. Ele valida a integridade da sessão entre a requisição inicial e a resposta final.
Em implementações frágeis ou mal configuradas, esse parâmetro pode ser previsível ou não validado corretamente. Os atacantes exploram essa fragilidade criando links de autenticação cuidadosamente elaborados.
A vítima recebe um e-mail convincente solicitando verificação de conta ou acesso a um documento interno. Ao clicar, é direcionada à página legítima de login da Microsoft. Após inserir suas credenciais, o token é enviado ao endpoint malicioso.
Nesse momento, o invasor passa a possuir autorização válida para acessar recursos corporativos por meio de APIs oficiais.
Aplicativos maliciosos e permissões enganosas
Outro ponto crítico envolve a concessão de permissões. Durante o fluxo, o usuário visualiza uma tela solicitando acesso a dados como perfil, e-mail ou arquivos.
Em organizações onde a política de consentimento é permissiva, basta um clique para conceder acesso amplo. O aplicativo pode solicitar permissões que parecem compatíveis com atividades rotineiras, como sincronização de documentos ou integração com relatórios.
Esse modelo permite persistência sem necessidade de capturar a senha da vítima. Mesmo que a credencial seja alterada posteriormente, o token autorizado pode continuar válido até sua revogação.
A anatomia da infecção: do ZIP ao servidor C2
Além do abuso no fluxo de autenticação, a campanha também inclui vetores complementares no endpoint. Em alguns casos, os e-mails contêm arquivos ZIP com atalhos maliciosos.
O fluxo observado segue uma cadeia estruturada:
Arquivo LNK dentro de ZIP → execução de comando via PowerShell → download de instalador MSI → carregamento de DLL maliciosa.
O arquivo LNK atua como ponto inicial. Ao ser executado, dispara um comando oculto que invoca o PowerShell. Esse script realiza o download de um instalador MSI hospedado remotamente.
O MSI instala componentes que exploram DLL sideloading, frequentemente utilizando nomes como Crashhandler.dll para mascarar o comportamento malicioso. O carregamento ocorre dentro do contexto de um processo legítimo, dificultando a detecção por soluções tradicionais baseadas apenas em assinatura.
Após a execução bem-sucedida, o malware estabelece comunicação com um servidor C2. Esse servidor envia instruções adicionais, coleta informações do sistema e pode iniciar movimentação lateral na rede.
Esse estágio marca a transição de comprometimento inicial para controle ativo do ambiente.
Plataformas de phishing e o kit EvilProxy
Campanhas modernas também utilizam kits de phishing avançados, como o EvilProxy. Esse tipo de ferramenta facilita ataques no modelo AitM, ou adversário no meio.
Diferentemente de páginas estáticas falsas, o modelo AitM posiciona um proxy entre o usuário e o serviço legítimo. A comunicação ocorre em tempo real. O usuário interage com a plataforma verdadeira, enquanto o atacante intercepta tokens de sessão e cookies autenticados.
Isso pode impactar inclusive ambientes com autenticação multifator. Se o token validado for capturado, o invasor pode reutilizá-lo para acesso imediato.
A combinação de abuso de redirecionamento OAuth com infraestrutura AitM representa uma evolução significativa nas campanhas de phishing corporativo. O foco deixa de ser apenas a senha e passa a ser a autorização válida.
Como se proteger contra abuso de redirecionamento OAuth
Diante desse cenário, medidas preventivas precisam ir além da conscientização básica.
Revisar regularmente aplicativos registrados no Entra ID é essencial. Integrações desconhecidas ou desnecessárias devem ser removidas imediatamente.
Restringir políticas de consentimento, permitindo que apenas administradores autorizem aplicativos com permissões sensíveis, reduz significativamente o risco.
Monitorar logs de autenticação e concessão de tokens ajuda a identificar comportamentos anômalos, como autorizações fora do padrão ou acessos de localidades incomuns.
Bloquear anexos ZIP e arquivos LNK em gateways de e-mail corporativo também reduz vetores secundários de infecção.
No endpoint, soluções de detecção comportamental devem monitorar uso suspeito de PowerShell e carregamento anômalo de bibliotecas DLL.
Treinamentos internos precisam enfatizar que URLs legítimas não são garantia absoluta de segurança. Solicitações inesperadas de permissões devem ser tratadas com cautela, mesmo quando apresentadas em páginas oficiais.
Conclusão
O alerta da Microsoft evidencia uma mudança estratégica no cenário de ameaças. O abuso de redirecionamento OAuth demonstra que funcionalidades legítimas podem ser manipuladas para criar cadeias de ataque altamente eficazes.
A sofisticação técnica, combinando tokens autorizados, execução avançada no endpoint e comunicação estruturada com C2, reforça a necessidade de controles mais rígidos em ambientes corporativos.
Para profissionais de TI e leitores atentos à cibersegurança, a mensagem é clara. Revisar permissões, endurecer políticas de consentimento e monitorar continuamente o ambiente são práticas indispensáveis.
Se você atua na área ou utiliza serviços corporativos na nuvem, revise agora os aplicativos conectados à sua conta organizacional e compartilhe este alerta com sua equipe. Informação técnica de qualidade continua sendo a primeira linha de defesa contra campanhas cada vez mais sofisticadas.