sampanews.com
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Motorista de Porsche que morreu em acidente recebe homenagens de universidade e colegas
12 de julho de 2026
Zenvo Aurora usa quatro turbos para ser o V12 de rua mais potente do mundo
12 de julho de 2026
Kingdom Come: Deliverance II de graça, coletânea de GTA baratinha e mais! Veja as indicações de games da semana
12 de julho de 2026
Robert Pattinson compara seu papel em A Odisseia ao Jacob de Crepúsculo
12 de julho de 2026
domingo, julho 12, 2026
Top Posts
Motorista de Porsche que morreu em acidente recebe...
Zenvo Aurora usa quatro turbos para ser o...
Kingdom Come: Deliverance II de graça, coletânea de...
Robert Pattinson compara seu papel em A Odisseia...
Inglaterra vence Noruega e garante vaga na semifinal
Argentina elimina Suíça e enfrenta Inglaterra na semifinal
O velho hábito de desligar o ar-condicionado do...
Nova frente fria chega hoje ao interior de...
Unicamp constrói Vila das Startups para abrigar mais...
Polícia busca motociclista que atropelou e matou idosa...
sampanews.com
Banner
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Motorista de Porsche que morreu em acidente recebe homenagens de universidade e colegas
12 de julho de 2026
Zenvo Aurora usa quatro turbos para ser o V12 de rua mais potente do mundo
12 de julho de 2026
Kingdom Come: Deliverance II de graça, coletânea de GTA baratinha e mais! Veja as indicações de games da semana
12 de julho de 2026
Robert Pattinson compara seu papel em A Odisseia ao Jacob de Crepúsculo
12 de julho de 2026
sampanews.com

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Motorista de Porsche que morreu em acidente recebe homenagens de universidade e colegas
12 de julho de 2026
Zenvo Aurora usa quatro turbos para ser o V12 de rua mais potente do mundo
12 de julho de 2026
Kingdom Come: Deliverance II de graça, coletânea de GTA baratinha e mais! Veja as indicações de games da semana
12 de julho de 2026
Robert Pattinson compara seu papel em A Odisseia ao Jacob de Crepúsculo
12 de julho de 2026
sampanews.com
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto
Copyright 2026 - Todos os Direitos Reservados

Microsoft alerta sobre golpe que ataca logins sem senha

por SampaNews 12 de abril de 2026
12 de abril de 2026
37

No último mês de março, a Microsoft divulgou uma série de campanhas de phishing que exploram o comportamento legítimo do protocolo OAuth, o padrão amplamente utilizado para autenticação em serviços como o botão “Entrar com o Google”, para redirecionar vítimas a páginas e arquivos maliciosos.

O diferencial do ataque é que ele não depende do roubo de credenciais: a cadeia de infecção avança mesmo quando a autenticação falha completamente. As campanhas têm como alvo prioritário organizações governamentais e do setor público.

smart_display

Nossos vídeos em destaque

O que é OAuth e por que ele é explorado

OAuth é um protocolo de autorização — um conjunto de regras padronizadas que permite que um sistema confirme a identidade de um usuário e autorize o acesso a recursos em seu nome. É o mecanismo por trás de botões como “Entrar com o Google” ou “Entrar com a Microsoft”.

O protocolo inclui um mecanismo nativo de redirecionamento que entra em ação quando ocorre um erro durante a autenticação. Em condições normais, esse redirecionamento leva o usuário de volta a uma página segura previamente definida pelo desenvolvedor do aplicativo, o chamado URI de redirecionamento, que é a base para a criação de endereços na internet, incluindo URLs.

Como o erro de autenticação é provocado de propósito

Os atacantes perceberam que é possível registrar um aplicativo falso dentro de plataformas como o Microsoft Entra ID ou o Google Workspace e configurar esse destino para apontar a um servidor sob seu controle.

Para acionar o redirecionamento, os atacantes combinam dois recursos previstos na própria especificação do OAuth. O primeiro é o parâmetro prompt=none, que faz com que o provedor de identidade tente autenticar o usuário silenciosamente, sem exibir nenhuma tela de login.

O segundo é um escopo intencionalmente inválido, o escopo é o campo que define quais permissões o aplicativo está solicitando, como acesso a e-mails ou contatos. Ao fornecer um valor inexistente, o atacante garante que a autenticação não será concluída.

Quando a autenticação falha, o provedor de identidade redireciona o navegador da vítima para o URI registrado junto com um código de erro. Como esse URI foi configurado pelo atacante, a vítima é enviada automaticamente ao domínio malicioso, sem ter feito login e sem ter suas credenciais comprometidas diretamente.

Esse comportamento está previsto nas especificações RFC 6749 e RFC 9700, o que significa que a técnica pode ser replicada em qualquer serviço compatível com OAuth, não sendo uma falha exclusiva da Microsoft ou do Google.

Como a isca chega até a vítima

A distribuição é feita por e-mail com iscas de temas corporativos comuns: solicitações de assinatura eletrônica, comunicados previdenciários, alertas financeiros, redefinições de senha e relatórios de RH.

Em alguns casos, a URL maliciosa está embutida dentro de um anexo PDF enviado sem conteúdo no corpo da mensagem, uma variação que dificulta a análise por sistemas de segurança que inspecionam predominantemente o texto das mensagens. Anexos falsos de convites de calendário no formato .ics também foram usados para simular reuniões reais e reforçar a aparência de legitimidade.

Uma das técnicas de personalização identificadas envolve o parâmetro state, que no uso correto do OAuth serve como valor aleatório de segurança. Nas campanhas observadas, os atacantes reaproveitaram esse campo para transportar o endereço de e-mail da vítima codificado em diferentes formatos.

O efeito prático é que, ao chegar à página de phishing, o endereço já aparece preenchido automaticamente no formulário, passando uma falsa sensação de que o sistema reconhece quem está acessando e aumentando a chance de que a vítima insira sua senha.

O que acontece depois do redirecionamento

Após o redirecionamento, os destinos variam conforme a campanha. Parte das vítimas é encaminhada para plataformas de phishing intermediárias, como o EvilProxy, que funcionam como um intermediário malicioso capaz de interceptar em tempo real tanto as credenciais digitadas quanto os cookies de sessão, pequenos arquivos que o navegador guarda para manter o usuário logado.

Com esses cookies, o atacante pode acessar a conta da vítima mesmo que ela utilize autenticação de dois fatores.

Outra parcela das campanhas leva as vítimas ao download automático de um arquivo ZIP contendo um atalho .LNK. Quando aberto, esse atalho executa silenciosamente um script PowerShell, uma linguagem de automação nativa do Windows, que inicia uma cadeia de comprometimento do dispositivo.

A cadeia de infecção dentro do computador da vítima

O script começa coletando informações sobre o ambiente da vítima, como configurações de rede e processos em execução, para que o atacante identifique se está lidando com um ambiente corporativo antes de prosseguir. Em seguida, extrai três arquivos: steam_monitor.exe, crashhandler.dll e crashlog.dat.

O ataque então aplica uma técnica chamada DLL sideloading: o executável legítimo steam_monitor.exe, que simula ser um componente da plataforma Steam, é usado para carregar a DLL maliciosa crashhandler.dll em lugar do arquivo original.

Como o processo inicial parece legítimo, ferramentas de segurança não levantam suspeitas imediatamente. A DLL descriptografa o crashlog.dat — que não é um log de erros real, mas a carga final do ataque — e a executa diretamente na memória do computador da vítima, sem gravar arquivos adicionais no disco.

Essa técnica, chamada de fileless malware, dificulta enormemente a detecção por antivírus tradicionais. Por fim, o malware estabelece conexão com um servidor externo de comando e controle, a partir do qual o atacante pode enviar instruções, exfiltrar dados ou instalar componentes adicionais.

O Microsoft Entra ID desativou os aplicativos OAuth identificados durante a investigação, mas a Microsoft alerta que a atividade relacionada persiste e exige monitoramento contínuo. 
 

autor de origem

Compartilhar 0 FacebookTwitterLinkedinWhatsapp
postagem anterior
Epic Games libera novo jogo grátis no celular! Resgate agora no Android (12)
próxima postagem
Novo marco dos seguros de carros muda regras e proíbe cancelamento

Você também pode gostar

Kingdom Come: Deliverance II de graça, coletânea de...

12 de julho de 2026

Robert Pattinson compara seu papel em A Odisseia...

12 de julho de 2026

Epic Games libera novo jogo grátis no celular!...

12 de julho de 2026

Monitor 24 polegadas: para quem é indicado e...

12 de julho de 2026

POSTS MAIS RECENTES

  • Motorista de Porsche que morreu em acidente recebe homenagens de universidade e colegas
  • Zenvo Aurora usa quatro turbos para ser o V12 de rua mais potente do mundo
  • Kingdom Come: Deliverance II de graça, coletânea de GTA baratinha e mais! Veja as indicações de games da semana
  • Robert Pattinson compara seu papel em A Odisseia ao Jacob de Crepúsculo
  • Inglaterra vence Noruega e garante vaga na semifinal

Siga-nos

  • Recente
  • Popular
  • Motorista de Porsche que morreu em acidente recebe homenagens de universidade e colegas

    12 de julho de 2026
  • Zenvo Aurora usa quatro turbos para ser o V12 de rua mais potente do mundo

    12 de julho de 2026
  • Kingdom Come: Deliverance II de graça, coletânea de GTA baratinha e mais! Veja as indicações de games da semana

    12 de julho de 2026
  • Robert Pattinson compara seu papel em A Odisseia ao Jacob de Crepúsculo

    12 de julho de 2026
  • 1

    Assessor ⁠da Casa Branca diz que novo chair do Fed deve ser “uma pessoa independente”

    22 de janeiro de 2026
  • 2

    IPVA mais caro do Brasil custa R$ 1 milhão; veja o carro mais caro de cada estado

    20 de janeiro de 2026
  • 3

    ⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?

    5 de abril de 2026
  • 4

    ⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?

    5 de abril de 2026

Postagens em destaque

Argentina elimina Suíça e enfrenta Inglaterra na semifinal

12 de julho de 2026

O velho hábito de desligar o ar-condicionado do...

12 de julho de 2026

Nova frente fria chega hoje ao interior de...

12 de julho de 2026

Unicamp constrói Vila das Startups para abrigar mais...

12 de julho de 2026

Polícia busca motociclista que atropelou e matou idosa...

12 de julho de 2026

Leitura obrigatória

  • Motorista de Porsche que morreu em acidente recebe homenagens de universidade e colegas

    12 de julho de 2026
  • Zenvo Aurora usa quatro turbos para ser o V12 de rua mais potente do mundo

    12 de julho de 2026
  • Kingdom Come: Deliverance II de graça, coletânea de GTA baratinha e mais! Veja as indicações de games da semana

    12 de julho de 2026
  • Robert Pattinson compara seu papel em A Odisseia ao Jacob de Crepúsculo

    12 de julho de 2026
  • Inglaterra vence Noruega e garante vaga na semifinal

    12 de julho de 2026

Newsletter

Posts relacionados

  • Kingdom Come: Deliverance II de graça, coletânea de GTA baratinha e mais! Veja as indicações de games da semana

    12 de julho de 2026
  • Robert Pattinson compara seu papel em A Odisseia ao Jacob de Crepúsculo

    12 de julho de 2026
  • Epic Games libera novo jogo grátis no celular! Resgate agora no Android (12)

    12 de julho de 2026
  • Monitor 24 polegadas: para quem é indicado e as melhores opções

    12 de julho de 2026
  • Xbox Game Pass recebe Gears of War e mais games esta semana! Confira os lançamentos (11)

    11 de julho de 2026

Mais vistas da semana

⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?
5 de abril de 2026
⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?
5 de abril de 2026
Tudo sobre Witch Hat Atelier, anime de fantasia que conquistou muitos fãs
5 de julho de 2026

Postagens Aleatórias

Uganda confirma mais três casos de ebola; total sobe para cinco
23 de maio de 2026
Rússia respeita saída dos Emirados Árabes da Opep+ e prevê manter diálogo bilateral
29 de abril de 2026
Quando o episódio 10 de Widow’s Bay será lançado? Veja data e horário
15 de junho de 2026

Categorias Populares

  • Tecnologia (6.108)
  • Política (3.650)
  • Mundo (3.258)
  • Campinas (2.125)
  • Negócios (1.271)
  • Economia (1.255)
  • Auto (1.143)
  • Bragança Paulista (1.123)
  • Esporte (815)
  • Saúde (501)

Notícias de São Paulo e do mundo, em tempo real. Cobertura completa de política, economia, mercado, cidades e assuntos que importam — com contexto e credibilidade.

Facebook Twitter Instagram Linkedin Youtube

Copyright © 2026 SampaNews. Todos os Direitos Reservados.

  • Anuncie
  • Contato
  • Política de Privacidade
sampanews.com
  • Home