Os ataques de phishing contra o Microsoft 365 estão se tornando cada vez mais sofisticados. Uma recente investigação da Cisco Talos revelou a existência do ARToken, uma plataforma de Phishing como Serviço (PhaaS) ligada ao ecossistema EvilTokens. A solução fornece aos criminosos um conjunto completo de ferramentas para automatizar campanhas, contornar mecanismos de segurança e assumir o controle de contas corporativas.
O aspecto mais preocupante é que o ARToken não depende apenas de páginas falsas para roubar credenciais. A plataforma explora um recurso legítimo da autenticação da Microsoft para convencer usuários a conceder acesso às próprias contas, tornando o MFA (autenticação multifator) insuficiente em muitos cenários. Somado ao uso de inteligência artificial, o resultado é uma nova geração de ataques muito mais difícil de detectar.
Neste artigo, você entenderá como funciona o ARToken, qual é sua relação com o EvilTokens, por que a técnica de Device Code Phishing preocupa especialistas e quais medidas empresas e administradores devem adotar para fortalecer a segurança de ambientes Microsoft 365.
O que é o ARToken e sua ligação com o EvilTokens
A descoberta da Cisco Talos mostra que o ARToken vai muito além de um simples kit de phishing. Trata-se de uma plataforma estruturada para oferecer serviços a afiliados, seguindo o modelo de Phishing como Serviço (PhaaS), no qual desenvolvedores mantêm a infraestrutura enquanto outros criminosos executam as campanhas.
Durante a análise, os pesquisadores identificaram um painel administrativo desenvolvido em React, acompanhado por diversos endpoints de API acessíveis. Esses componentes revelaram detalhes sobre o funcionamento interno da plataforma, incluindo recursos para gerenciamento de campanhas, vítimas, autenticações e coleta de informações.
As evidências técnicas também apontam uma forte ligação com o ecossistema EvilTokens, grupo já documentado pela empresa de inteligência em ameaças Sekoia. As semelhanças entre a infraestrutura, o fluxo de autenticação e os métodos utilizados indicam que ambos fazem parte da mesma cadeia de operações criminosas ou compartilham tecnologias semelhantes.
Essa profissionalização demonstra como o mercado clandestino evoluiu. Hoje, um criminoso não precisa desenvolver toda a infraestrutura do zero. Basta contratar uma plataforma pronta, configurar a campanha e iniciar ataques direcionados a empresas que utilizam o Microsoft 365.

Como funciona o phishing contra o Microsoft 365 usando código de dispositivo
O diferencial do ARToken está na exploração do OAuth 2.0 Device Authorization Grant, conhecido como Device Code Flow.
Esse mecanismo foi criado para facilitar a autenticação em dispositivos que possuem capacidade limitada para digitar senhas, como televisores inteligentes, consoles, equipamentos industriais e outros dispositivos conectados.
Em um cenário legítimo, o processo ocorre da seguinte forma:
- O dispositivo gera um código temporário.
- O usuário acessa uma página oficial da Microsoft.
- Digita o código recebido.
- Faz login normalmente em sua conta.
- O dispositivo recebe autorização para acessar os recursos permitidos.
Os criminosos exploram exatamente esse fluxo.
Em vez de criar uma página falsa, eles enviam mensagens cuidadosamente elaboradas solicitando que a vítima acesse o portal oficial da Microsoft e informe um código específico. Como todo o procedimento acontece em um domínio legítimo, o usuário dificilmente percebe que está autorizando um aplicativo controlado pelos invasores.
Esse detalhe torna o golpe extremamente eficiente.
Mesmo quando a organização utiliza autenticação multifator, a validação ocorre normalmente, pois o próprio usuário conclui o processo de autenticação na infraestrutura oficial da Microsoft. O invasor não precisa capturar senhas nem interceptar códigos temporários.
Na prática, a vítima concede acesso diretamente ao aplicativo malicioso, acreditando estar realizando uma ação legítima.
Essa técnica reduz significativamente a eficácia de diversos mecanismos tradicionais de proteção contra phishing, que normalmente identificam páginas falsas ou domínios fraudulentos.
O papel da inteligência artificial nas campanhas BEC
Outro aspecto que chama atenção é o uso crescente de inteligência artificial nas campanhas conduzidas pelo ecossistema EvilTokens.
Após obter acesso às contas comprometidas, ferramentas baseadas em LLMs (Large Language Models) analisam rapidamente caixas de entrada, históricos de conversas e documentos armazenados na organização.
A IA identifica fornecedores, clientes, gestores, padrões de comunicação e até o estilo de escrita utilizado pelos colaboradores.
Com essas informações, os criminosos conseguem elaborar mensagens extremamente convincentes para ataques de Business Email Compromise (BEC).
Além de produzir textos mais naturais, os modelos conseguem traduzir mensagens automaticamente, resumir longas conversas e responder e-mails mantendo o mesmo contexto utilizado pela vítima.
Essa automação reduz o esforço dos criminosos e aumenta significativamente a credibilidade das campanhas.
Como o ataque compromete Outlook, SharePoint e OneDrive
Depois que o aplicativo malicioso recebe autorização, os invasores passam a explorar diversos serviços integrados ao Microsoft 365.
Dependendo das permissões concedidas, o acesso pode incluir recursos do Outlook, SharePoint, OneDrive e outros componentes da plataforma.
Entre as funcionalidades observadas pelos pesquisadores estão:
- Criação silenciosa de regras de e-mail para ocultar mensagens importantes ou encaminhá-las automaticamente aos criminosos.
- Download de anexos corporativos, incluindo contratos, documentos financeiros e arquivos confidenciais.
- Persistência utilizando Primary Refresh Tokens (PRTs), permitindo manter o acesso por períodos prolongados.
- Imitação de ambientes SharePoint, utilizada para ampliar campanhas de engenharia social.
- Coleta automatizada de documentos e informações corporativas que podem ser utilizados em espionagem ou novos ataques.
Esse tipo de comprometimento representa um risco elevado porque o atacante passa a operar utilizando credenciais legítimas da vítima.
Isso dificulta a detecção por soluções tradicionais que concentram a análise apenas em tentativas de login suspeitas.
Além do roubo de informações, o acesso obtido pode ser utilizado para fraudes financeiras, movimentação lateral na rede, comprometimento de fornecedores e preparação para ataques de ransomware.
Como proteger sua infraestrutura contra o ARToken
Embora o ARToken utilize técnicas bastante sofisticadas, existem diversas medidas capazes de reduzir significativamente os riscos.
A primeira delas é compreender que o MFA, apesar de continuar essencial, não elimina completamente as possibilidades de comprometimento quando o próprio usuário autoriza um aplicativo malicioso.
As organizações devem monitorar continuamente eventos relacionados ao Device Code Flow, identificando solicitações incomuns ou autenticações realizadas por dispositivos desconhecidos.
Também é recomendável revisar regularmente os aplicativos autorizados no ambiente Microsoft 365, removendo permissões desnecessárias e restringindo o uso de fluxos OAuth quando eles não forem indispensáveis para o negócio.
Outra medida importante consiste em adotar soluções modernas de Identity Threat Detection and Response (ITDR), capazes de identificar comportamentos anormais após a autenticação.
Ferramentas baseadas em análise comportamental conseguem detectar acessos realizados em horários incomuns, mudanças repentinas de localização, downloads massivos de arquivos e criação inesperada de regras de e-mail.
Investir na capacitação dos usuários também continua sendo indispensável.
Os colaboradores precisam entender que nem todo golpe utiliza uma página falsa. Em ataques baseados em Device Code Phishing, o login acontece em um site oficial da Microsoft, o que torna a fraude muito mais convincente.
Treinamentos periódicos sobre engenharia social, reconhecimento de solicitações incomuns e validação de pedidos internos continuam sendo uma das melhores formas de reduzir a exposição da empresa.
À medida que plataformas como o ARToken evoluem, fica evidente que o mercado de Phishing como Serviço caminha para um nível cada vez maior de automação. O uso de inteligência artificial, aliado à exploração de recursos legítimos da autenticação moderna, exige que as organizações ampliem sua estratégia de defesa para além da simples proteção por senha e autenticação multifator.
Empresas que combinam monitoramento contínuo, gestão rigorosa de identidades, análise comportamental e conscientização dos usuários estarão muito mais preparadas para enfrentar essa nova geração de ameaças.
Se a sua organização já adota medidas específicas para detectar tentativas de Device Code Phishing, compartilhe sua experiência nos comentários. E, se este conteúdo foi útil, envie-o para sua equipe de TI para ampliar a conscientização sobre uma das ameaças mais sofisticadas que atualmente afetam ambientes Microsoft 365.