Blog

Jalisco e OmegaLord miram Microsoft 365 e burlam MFA em ataques reais

Escrito por Luiz Claudio | 14/07/2026 16:01:00
Cibersegurança

Microsoft 365 sob phishing, saiba como agir

Jalisco e OmegaLord tentam driblar MFA usando autorização de dispositivo e páginas falsas.

Navegacao

O que aconteceu Como os golpes funcionam Sinais de alerta Como se proteger agora Checklist pratico

Resumo rapido

Dois novos kits de phishing, batizados de Jalisco e OmegaLord, foram identificados em ataques contra contas Microsoft 365. Os dois tentam contornar a autenticação multifator, a MFA, por meio de engenharia social. O risco é alto porque a vítima pode aprovar o acesso sem perceber que está entregando a conta a outra pessoa.

Neste artigo voce vai aprender:

  • Quais são os dois kits citados na investigação.
  • Como o Jalisco usa o fluxo de autorização de dispositivo da Microsoft.
  • Como o OmegaLord se passa por leitor de PDF.
  • Quais sinais devem acender alerta em usuários do Microsoft 365.
  • Quais ações práticas reduzem o risco de queda no golpe.

O que aconteceu

Pesquisadores da ReliaQuest analisaram dois kits de phishing usados contra contas Microsoft 365: Jalisco e OmegaLord. Segundo o relato publicado pelo BleepingComputer, os dois apareceram em ataques que miram justamente a proteção de MFA. Em termos simples, a MFA é aquela etapa extra de confirmação no login, como aprovar uma solicitação, inserir um código ou usar um segundo fator além da senha.

O detalhe que muda tudo é este: os criminosos não dependem só de roubar uma senha. Eles trabalham para que a própria vítima complete uma etapa legítima de login ou entregue dados que ajudam a controlar a conta.

Como os golpes funcionam

O Jalisco se apoia numa técnica conhecida como phishing por código de dispositivo. O criminoso inicia uma tentativa de entrada em um serviço Microsoft, como o Microsoft 365, e recebe um código de autorização. Em seguida, usando engenharia social, convence a vítima a abrir a página legítima de login da Microsoft e digitar esse código.

Ao fazer isso, a vítima não está apenas "confirmando um código": ela está autorizando um dispositivo controlado pelo atacante. Com o dispositivo aprovado, o invasor entra na conta sem precisar saber o nome de usuário ou a senha.

O OmegaLord segue por outro caminho. Ele se disfarça de leitor de PDF e coleta credenciais de login e números de telefone associados à conta. Esses dados ajudam o criminoso a interceptar, redirecionar ou assumir o controle de solicitações e códigos de MFA.

Sinais de alerta

Alguns sinais merecem atenção imediata em ambientes que usam Microsoft 365:

  • Pedido inesperado para digitar um código em uma página da Microsoft.
  • Mensagem dizendo que é preciso autorizar um dispositivo, mesmo sem você ter iniciado login.
  • Arquivo ou página que se apresenta como leitor de PDF e pede credenciais do Microsoft 365.
  • Solicitação de telefone junto com usuário e senha, sem contexto claro.
  • Pressão para agir rápido, especialmente por email, chat ou mensagem externa.

Há um ponto especialmente traiçoeiro no Jalisco: a página de login pode ser autêntica. A armadilha está no código que a vítima é levada a inserir.

Como se proteger agora

A primeira regra é simples: não digite códigos de autorização recebidos por orientação de terceiros. Se você não iniciou o processo de login, não aprove solicitações e não insira códigos.

  • Oriente colaboradores a desconfiar de pedidos que envolvam Microsoft 365, códigos e aprovação de dispositivo.
  • Trate como suspeita qualquer página que peça login e telefone sem um contexto claro.
  • Se alguém digitou um código, senha ou telefone em uma página suspeita, acione o time de segurança na hora.
  • Inclua exemplos de phishing por código de dispositivo nos treinamentos de conscientização.

O episódio confirma que a MFA continua essencial, mas não anula golpes baseados em convencimento humano. A proteção precisa combinar tecnologia, processos e educação.

Checklist pratico

  1. Verifique se o usuário realmente iniciou o login antes de aprovar qualquer solicitação do Microsoft 365.
  2. Nunca insira códigos recebidos por email, chat ou ligação sem validação com o suporte interno.
  3. Desconfie de leitores de PDF que peçam conta Microsoft 365, senha e telefone.
  4. Reporte imediatamente qualquer aprovação acidental ou preenchimento de dados em página suspeita.
  5. Treine a equipe com exemplos reais de Jalisco, OmegaLord e phishing contra MFA.

Perguntas frequentes

O MFA deixou de funcionar?

Não. A MFA segue como uma camada importante de defesa. O problema é que esses golpes tentam enganar a pessoa para que ela mesma aprove o acesso ou entregue informações úteis ao atacante.

O que torna o Jalisco perigoso?

Ele usa uma página legítima de login da Microsoft e induz a vítima a digitar um código que autoriza um dispositivo controlado pelo criminoso.

O que fazer se alguém caiu no golpe?

A pessoa deve avisar imediatamente o time de segurança ou TI. Quanto mais rápido o incidente for tratado, menor a chance de uso indevido da conta Microsoft 365.

Proteja sua empresa com a LC SEC

A LC SEC ajuda sua organização a reduzir riscos de phishing contra Microsoft 365 com conscientização, inteligência de ameaças, governança de MFA e resposta orientada a incidentes.

Conheca: Pentest, Threat Intelligence com IA, Conscientizacao de Seguranca, SGSI, Plano Diretor de Seguranca, Auditoria Interna, Governanca de MFA e Cofre TOTP, ISO 42001 - IA, Diagnostico Gratuito de Seguranca. lcsec.io

Fontes:
https://www.bleepingcomputer.com/news/security/new-phishing-kits-target-microsoft-365-accounts-evade-mfa/