Phishing Fantasma Oculta Ataques ao Microsoft 365

Phishing Fantasma: Como a Criptografia no Navegador Está Burlando a Segurança Tradicional de E-mails
As campanhas de phishing continuam evoluindo à medida que os mecanismos tradicionais de proteção se tornam mais eficientes. Em vez de depender apenas de páginas falsas hospedadas em servidores maliciosos ou de anexos infectados, os atacantes passaram a explorar técnicas que dificultam significativamente a identificação da ameaça durante as primeiras etapas da análise. Uma das abordagens mais recentes observadas utiliza uma estratégia conhecida como phishing fantasma, capaz de ocultar o conteúdo malicioso até que ele seja executado diretamente no navegador da vítima.
O caso recentemente identificado envolvendo o kit EvilTokens demonstra uma mudança importante na forma como campanhas de comprometimento de contas são conduzidas. O ataque não busca apenas convencer o usuário a clicar em um link suspeito. Ele também procura impedir que ferramentas tradicionais de inspeção consigam visualizar aquilo que realmente será apresentado à vítima após a abertura da página.
Essa mudança representa um desafio relevante para organizações que dependem de filtros de e-mail, verificações estáticas de URLs e controles em nível de rede como primeira linha de defesa. Embora esses mecanismos continuem importantes, o material analisado demonstra que eles podem visualizar apenas a resposta inicial do servidor, enquanto o conteúdo efetivamente apresentado ao usuário permanece protegido por criptografia até ser processado pelo navegador.
Como consequência, equipes responsáveis pela segurança do Microsoft 365 passam a enfrentar um cenário no qual decisões de contenção podem ser tomadas utilizando apenas parte das evidências disponíveis. Quanto maior essa limitação de visibilidade, maior também o tempo necessário para compreender o ataque, investigar seus indicadores e iniciar ações de resposta.
Por que o phishing fantasma representa uma mudança importante na segurança de e-mails
Durante muitos anos, soluções de segurança de e-mail concentraram seus mecanismos de proteção na análise de reputação de URLs, inspeção do código HTML recebido, identificação de anexos maliciosos e comparação com assinaturas conhecidas. Essa abordagem continua eficiente para inúmeras campanhas tradicionais de phishing.
Entretanto, o material apresentado demonstra que campanhas modernas estão deslocando parte significativa do ataque para dentro do navegador. Em vez de entregar imediatamente uma página de phishing completamente visível, o servidor fornece uma resposta cujo conteúdo permanece criptografado utilizando AES-GCM.
Isso significa que a inspeção inicial pode identificar apenas um conjunto aparentemente inofensivo de informações. O conteúdo utilizado para enganar o usuário somente aparece após o navegador descriptografar os dados e construir dinamicamente o DOM (Document Object Model), etapa que normalmente não faz parte das verificações realizadas por muitos mecanismos tradicionais.
Na prática, essa diferença altera completamente o ponto onde a ameaça se torna realmente visível. Em vez de existir durante o tráfego inicial, ela passa a existir apenas durante a renderização da página no ambiente do usuário.
Como funciona o ataque observado no EvilTokens
Uso do phishing de código de dispositivo da Microsoft
Segundo o material original, o kit EvilTokens utiliza o mecanismo de phishing baseado no fluxo de código de dispositivo da Microsoft. O objetivo não é capturar diretamente a senha da vítima.
Em vez disso, o usuário é induzido a concluir um fluxo legítimo de autenticação da Microsoft. Durante esse processo, ele acaba autorizando, sem perceber, o acesso do atacante à sua conta do Microsoft 365.
Essa característica torna o ataque particularmente interessante do ponto de vista defensivo. Como o fluxo de autenticação utiliza componentes legítimos da plataforma Microsoft, parte da interação aparenta ser perfeitamente válida para o usuário.
Dessa forma, o sucesso da campanha depende menos da coleta de credenciais tradicionais e mais da obtenção da autorização concedida pela própria vítima durante o processo de autenticação.
O papel da criptografia AES-GCM
O aspecto mais inovador destacado no material está relacionado ao uso de criptografia AES-GCM para proteger o HTML da página maliciosa.
Enquanto a página permanece armazenada em formato criptografado, mecanismos tradicionais de inspeção conseguem visualizar apenas uma resposta aparentemente legítima. O conteúdo de phishing permanece invisível durante essa etapa.
Somente após a abertura da página no navegador ocorre o processo de descriptografia. Em seguida, o navegador renderiza o conteúdo verdadeiro no DOM, tornando visível apenas para o usuário aquilo que anteriormente estava oculto.
Essa diferença entre o conteúdo trafegado e o conteúdo efetivamente exibido cria uma lacuna importante para processos tradicionais de análise de segurança.
A lacuna de visibilidade criada pelo navegador
O material destaca que verificações estáticas de URLs e controles implementados em nível de rede podem capturar apenas a resposta inicial enviada pelo servidor. Entretanto, essa resposta não representa necessariamente aquilo que será apresentado ao usuário final.
Quando o conteúdo permanece criptografado até sua execução local, parte significativa da lógica do ataque passa a existir exclusivamente durante o processamento realizado pelo navegador.
Esse comportamento dificulta análises automatizadas baseadas apenas em inspeção estática e amplia o tempo necessário para compreender exatamente como ocorre o comprometimento da conta.
Para equipes de operações de segurança (SOC), essa diferença significa trabalhar inicialmente com evidências incompletas, aumentando a necessidade de investigações adicionais antes da tomada de decisões.
Os impactos operacionais para organizações
O conteúdo original aponta diversas consequências decorrentes dessa limitação de visibilidade. A primeira delas envolve o prolongamento da exposição ao comprometimento de contas do Microsoft 365. Quanto maior o intervalo entre a infecção e sua identificação, maiores podem ser os impactos sobre os ativos corporativos acessíveis por essa identidade.
Além disso, decisões relacionadas à contenção e resposta podem ocorrer de forma mais lenta, uma vez que parte das evidências necessárias para confirmar o ataque somente aparece após a execução do conteúdo no navegador.
Outro ponto destacado é a possibilidade de acesso não autorizado a e-mails corporativos, arquivos e serviços hospedados em nuvem. Como o objetivo da campanha é obter autorização de acesso à conta da vítima, o comprometimento deixa de se restringir apenas ao e-mail e pode alcançar outros recursos associados ao Microsoft 365.
O material também evidencia impactos sobre a operação do SOC. Alertas tornam-se mais difíceis de interpretar, analistas seniores recebem maior volume de casos para investigação e aumenta o custo operacional decorrente da necessidade de reconstrução manual dos eventos observados.
Setores mais expostos ao phishing fantasma segundo o material analisado
Além de apresentar a evolução técnica da campanha EvilTokens, o material original demonstra que o problema não está distribuído de maneira uniforme entre todos os segmentos do mercado. A Inteligência de Ameaças da ANY.RUN identificou que a atividade recente concentrou seus alvos principalmente em organizações localizadas nos Estados Unidos e na Europa, atingindo setores cuja dependência de plataformas em nuvem e do Microsoft 365 é elevada.
Entre os segmentos mencionados estão empresas de tecnologia, manufatura, educação, bancos, consultorias, instituições de serviços financeiros e provedores de serviços gerenciados de segurança (MSSPs). Embora atuem em mercados distintos, esses setores compartilham uma característica importante: utilizam intensivamente comunicação por e-mail, colaboração em nuvem e compartilhamento de documentos, tornando uma conta comprometida um potencial ponto de acesso para ativos corporativos críticos.
O material também apresenta informações provenientes das submissões realizadas por aproximadamente 15.000 organizações ao ambiente de testes da ANY.RUN durante 2026. Esses dados indicam níveis elevados de exposição ao phishing entre diversos segmentos econômicos, reforçando que campanhas desse tipo continuam sendo uma das principais ameaças enfrentadas pelas organizações.
Segundo o conteúdo fornecido, a consultoria apresentou exposição de 75,6%, seguida pelos serviços financeiros com 72,8%, manufatura com 71,9%, tecnologia com 67,9%, bancos com 66,7% e provedores de serviços de segurança gerenciados com 66,1%. O material utiliza esses indicadores para demonstrar que ataques de phishing continuam presentes em diferentes ambientes corporativos e que campanhas sofisticadas tendem a ampliar ainda mais esse desafio.
Por que uma conta comprometida do Microsoft 365 representa um risco ampliado
O material destaca que o objetivo da campanha não se limita ao acesso inicial obtido pelo invasor. Uma vez que uma conta do Microsoft 365 é comprometida por meio da autorização concedida pela própria vítima, o impacto potencial pode atingir diferentes recursos corporativos associados à identidade digital daquele usuário.
Entre as consequências citadas estão o acesso não autorizado aos e-mails corporativos, arquivos armazenados em serviços em nuvem e demais serviços vinculados ao ambiente Microsoft 365. Essa característica amplia significativamente o impacto potencial do incidente, pois o comprometimento deixa de estar restrito ao dispositivo utilizado pela vítima.
Outro aspecto destacado é que o tempo de permanência do invasor influencia diretamente a gravidade do incidente. Quanto mais tempo o ataque permanecer sem ser identificado, maior será a possibilidade de ampliação do comprometimento para outros ativos acessíveis por aquela conta.
O texto original resume esse cenário afirmando que uma única conta comprometida pode evoluir para um incidente empresarial de maior escala quando a resposta não ocorre rapidamente.
O desafio enfrentado pelos Centros de Operações de Segurança (SOC)
Evidências incompletas dificultam a investigação
Um dos principais problemas apresentados pelo material está relacionado à qualidade das evidências disponíveis durante as primeiras etapas da investigação. Como o conteúdo permanece oculto até sua descriptografia no navegador, analistas responsáveis pela triagem inicial podem visualizar apenas parte do comportamento observado.
Essa limitação afeta diretamente a capacidade de validar rapidamente um alerta. Sem acesso ao conteúdo efetivamente exibido ao usuário, torna-se mais difícil determinar se determinado link representa apenas um comportamento incomum ou uma campanha ativa de phishing.
Como consequência, parte dos casos precisa ser encaminhada para profissionais mais experientes, aumentando o volume de trabalho dos analistas seniores e prolongando o tempo necessário para conclusão das investigações.
Aumento do custo operacional
O conteúdo original também destaca que investigações baseadas em evidências parciais aumentam o esforço operacional das equipes de segurança. Em vez de trabalhar com uma sequência completa dos eventos, os profissionais precisam reconstruir manualmente diferentes etapas do ataque para compreender seu funcionamento.
Além do impacto sobre o tempo de resposta, essa abordagem eleva o custo das operações de segurança, uma vez que exige maior dedicação dos analistas para produzir evidências suficientes que permitam validar ou descartar um incidente.
Outro efeito citado é a dificuldade para bloquear toda a infraestrutura utilizada pelos atacantes quando apenas parte dos indicadores de comprometimento está disponível durante a investigação inicial.
Como a análise em sandbox amplia a visibilidade do ataque
Segundo o material fornecido, a forma mais eficaz de expor campanhas de phishing fantasma consiste na abertura dos links suspeitos em um ambiente isolado capaz de acompanhar o comportamento do navegador durante toda a execução da página.
Nesse cenário, a análise deixa de depender exclusivamente da resposta recebida do servidor e passa a acompanhar também aquilo que ocorre após a descriptografia do conteúdo. Isso permite observar exatamente o momento em que o HTML protegido por AES-GCM é transformado na interface visual apresentada ao usuário.
O conteúdo utiliza como exemplo o Sandbox Interativo da ANY.RUN, descrevendo que a plataforma permite acompanhar o fluxo completo do ataque durante sua execução.
Segundo o texto original, essa abordagem oferece uma visão muito mais completa da campanha, permitindo que os analistas observem elementos que permaneceriam invisíveis durante verificações convencionais.
O que pode ser observado durante a execução do ataque
Visualização do conteúdo descriptografado
Após a execução da página no navegador, torna-se possível visualizar o conteúdo de phishing sendo incorporado ao DOM. Esse momento representa exatamente a diferença entre aquilo que ferramentas tradicionais conseguem visualizar e aquilo que realmente é apresentado ao usuário.
Segundo o material, a inspeção permite acompanhar o surgimento do conteúdo oculto depois da descriptografia realizada localmente pelo navegador.
Monitoramento das requisições realizadas
Outro recurso descrito consiste na visualização das requisições HTTP geradas durante a execução do ataque. Essas informações permitem compreender como ocorre a comunicação utilizada durante o fluxo do código de dispositivo da Microsoft.
O texto cita especificamente o acompanhamento das requisições Fetch/XHR e o rastreamento do fluxo relacionado ao endpoint /api/device/start, permitindo identificar a sequência de comunicação utilizada durante o processo.
Coleta de indicadores de comprometimento
Além da observação visual da página, a investigação também possibilita reunir indicadores de comprometimento associados ao ataque. O material informa que podem ser identificados domínios utilizados, endpoints envolvidos, hashes e demais elementos de infraestrutura que auxiliam investigações posteriores.
Esses indicadores contribuem para ampliar a capacidade de resposta das equipes responsáveis pela segurança, fornecendo elementos técnicos que podem ser utilizados durante processos de contenção e investigação.
Reconstruindo o fluxo completo do ataque
Um dos pontos enfatizados pelo material é que a análise em nível de navegador elimina parte da necessidade de reconstrução manual do incidente. Em vez de trabalhar apenas com evidências parciais, os analistas conseguem visualizar o comportamento efetivamente apresentado ao usuário.
Essa diferença reduz a dependência de inferências durante a investigação e permite compreender de maneira mais precisa como ocorreu a campanha analisada.
Ao reunir capturas do DOM, requisições HTTP, detalhes das URLs e indicadores de comprometimento em uma única investigação, torna-se possível acompanhar a sequência completa dos eventos descritos no material original.
Essa visão integrada também facilita a compreensão das diferentes etapas utilizadas pelo ataque, desde a abertura do link até a apresentação do conteúdo de phishing no navegador.
Da análise técnica à resposta operacional: reduzindo o tempo entre a detecção e a contenção
O material original destaca que a obtenção de evidências diretamente no navegador não beneficia apenas a fase inicial da investigação. A disponibilidade dessas informações também influencia a forma como os incidentes são encaminhados dentro do Centro de Operações de Segurança (SOC), reduzindo o tempo necessário para que analistas mais experientes compreendam o cenário e iniciem as medidas de contenção.
Em operações de segurança, a transferência de um incidente entre diferentes níveis de atendimento normalmente representa um momento crítico. Quando o analista responsável pela triagem inicial dispõe apenas de informações parciais, grande parte do trabalho precisa ser refeita pelo analista seguinte. Essa duplicação de esforços aumenta o tempo de resposta e dificulta a priorização de incidentes simultâneos.
Segundo o conteúdo fornecido, a utilização de um ambiente capaz de acompanhar o comportamento da página durante sua execução permite que essa transferência ocorra acompanhada de evidências mais completas. Em vez de encaminhar apenas um alerta indicando um possível phishing, o analista passa a compartilhar um conjunto de informações técnicas obtidas durante toda a execução do ataque.
Essa diferença reduz a necessidade de reconstrução manual do incidente e contribui para que a equipe concentre seus esforços na tomada de decisão e na contenção, em vez de gastar tempo reproduzindo etapas já observadas anteriormente.
Relatórios automáticos e apoio à investigação
Resumo gerado a partir da sessão de análise
O material também apresenta a geração automática de um relatório baseado na sessão de análise realizada. De acordo com o texto original, esse relatório reúne um resumo elaborado com apoio de inteligência artificial e inclui recomendações relacionadas aos próximos passos da investigação.
Essa documentação consolida as principais evidências observadas durante a execução do ataque, reduzindo a necessidade de consultar separadamente capturas de tela, registros técnicos e demais artefatos produzidos durante a análise.
Ao concentrar essas informações em um único documento, a investigação torna-se mais organizada e oferece maior contexto para as equipes responsáveis pela continuidade do processo de resposta ao incidente.
Redução do retrabalho entre equipes
Outro aspecto enfatizado pelo conteúdo original é a diminuição do trabalho repetitivo entre diferentes profissionais do SOC. Em vez de iniciar uma nova investigação praticamente do zero, os analistas responsáveis pelas etapas seguintes recebem um conjunto estruturado de evidências já organizadas.
Segundo o material, esse processo acelera a passagem das informações entre os níveis operacionais e reduz atrasos decorrentes da necessidade de interpretar novamente os mesmos eventos observados durante a análise inicial.
Na prática, isso permite que a equipe avance mais rapidamente da validação do incidente para a implementação das medidas de contenção.
Como a visibilidade do navegador modifica a tomada de decisão
Um dos principais argumentos apresentados pelo material é que o phishing moderno já não pode ser compreendido apenas por meio da inspeção do e-mail recebido ou da resposta inicial fornecida por uma URL. Como parte significativa do comportamento malicioso somente se torna visível após a descriptografia realizada pelo navegador, decisões baseadas exclusivamente na análise estática tendem a utilizar informações incompletas.
Essa limitação afeta diretamente a capacidade das equipes de segurança de avaliar riscos de forma precisa. Quando o comportamento efetivamente apresentado ao usuário permanece invisível, o processo decisório passa a depender de evidências parciais, aumentando a incerteza durante a investigação.
Segundo o conteúdo fornecido, acompanhar a execução da página no navegador permite observar o fluxo completo da campanha, incluindo a apresentação do conteúdo de phishing, as comunicações realizadas durante o ataque e os indicadores técnicos associados à infraestrutura utilizada.
Com esse conjunto de informações, a tomada de decisão deixa de depender apenas de inferências sobre o possível comportamento da página e passa a considerar evidências efetivamente observadas durante sua execução.
Contribuições para a contenção de incidentes
O material identifica diversos benefícios operacionais decorrentes da disponibilidade dessas evidências durante a investigação. O primeiro deles é a redução da janela de exposição entre o comprometimento da conta e a implementação das ações de resposta.
Outro benefício apresentado é a diminuição da pressão sobre analistas seniores. Quando a equipe responsável pela triagem inicial dispõe de informações mais completas, parte dos casos pode ser resolvida sem necessidade de escalonamento imediato, permitindo que profissionais especializados concentrem sua atuação nos incidentes mais complexos.
O conteúdo também destaca que o acesso ao comportamento observado no navegador contribui para acelerar a contenção do incidente, já que o contexto técnico do ataque acompanha a investigação desde as primeiras etapas.
Além disso, os indicadores obtidos durante a análise oferecem informações adicionais para ampliar mecanismos de detecção e apoiar futuras investigações relacionadas à mesma infraestrutura utilizada pelos atacantes.
Considerações estratégicas para organizações
A campanha descrita no material evidencia que técnicas de phishing continuam evoluindo para reduzir sua exposição durante as fases iniciais da análise. Em vez de esconder apenas a infraestrutura utilizada, os atacantes passam a ocultar também o conteúdo apresentado à vítima, deslocando parte significativa do ataque para dentro do navegador.
Esse comportamento modifica a forma como organizações precisam interpretar alertas relacionados ao phishing. A ausência de evidências visíveis durante a inspeção inicial deixa de representar, por si só, um indicativo de segurança, já que o conteúdo efetivamente utilizado pela campanha pode permanecer criptografado até sua execução.
Embora filtros de e-mail, verificações de URLs e controles de rede continuem exercendo papel importante na proteção das organizações, o material demonstra que esses mecanismos podem enfrentar limitações quando o ataque foi desenvolvido especificamente para revelar seu comportamento apenas durante a renderização da página.
Essa constatação reforça a importância de compreender todas as etapas do fluxo de execução de campanhas modernas de phishing antes da adoção de decisões relacionadas à contenção ou à classificação do incidente.
Conclusão
O caso EvilTokens apresentado no material demonstra uma evolução relevante nas campanhas de phishing direcionadas ao Microsoft 365. Ao utilizar criptografia AES-GCM para ocultar o HTML da página maliciosa até sua descriptografia no navegador, os atacantes criam uma situação em que mecanismos tradicionais de inspeção podem visualizar apenas parte do comportamento da ameaça.
Essa limitação de visibilidade impacta diretamente o trabalho das equipes responsáveis pela segurança, prolongando investigações, aumentando o volume de trabalho operacional e elevando a dificuldade para compreender rapidamente o funcionamento completo da campanha.
O conteúdo também evidencia que ambientes de análise capazes de acompanhar o comportamento do navegador permitem observar elementos que permanecem ocultos durante verificações convencionais. A visualização do DOM descriptografado, das requisições HTTP, dos indicadores de comprometimento e do fluxo do ataque oferece uma base mais consistente para a investigação e para a tomada de decisões relacionadas à contenção.
Por fim, o material reforça que o phishing moderno não pode mais ser analisado exclusivamente a partir do e-mail recebido ou da resposta inicial fornecida por uma URL. À medida que campanhas passam a ocultar seu comportamento até a etapa de execução no navegador, torna-se cada vez mais importante compreender todo o fluxo do ataque para reduzir a exposição das organizações, acelerar a resposta a incidentes e fundamentar decisões operacionais em evidências técnicas mais completas.
