Jalisco e OmegaLord tentam driblar MFA usando autorização de dispositivo e páginas falsas.
Dois novos kits de phishing, batizados de Jalisco e OmegaLord, foram identificados em ataques contra contas Microsoft 365. Os dois tentam contornar a autenticação multifator, a MFA, por meio de engenharia social. O risco é alto porque a vítima pode aprovar o acesso sem perceber que está entregando a conta a outra pessoa.
Pesquisadores da ReliaQuest analisaram dois kits de phishing usados contra contas Microsoft 365: Jalisco e OmegaLord. Segundo o relato publicado pelo BleepingComputer, os dois apareceram em ataques que miram justamente a proteção de MFA. Em termos simples, a MFA é aquela etapa extra de confirmação no login, como aprovar uma solicitação, inserir um código ou usar um segundo fator além da senha.
O detalhe que muda tudo é este: os criminosos não dependem só de roubar uma senha. Eles trabalham para que a própria vítima complete uma etapa legítima de login ou entregue dados que ajudam a controlar a conta.
O Jalisco se apoia numa técnica conhecida como phishing por código de dispositivo. O criminoso inicia uma tentativa de entrada em um serviço Microsoft, como o Microsoft 365, e recebe um código de autorização. Em seguida, usando engenharia social, convence a vítima a abrir a página legítima de login da Microsoft e digitar esse código.
Ao fazer isso, a vítima não está apenas "confirmando um código": ela está autorizando um dispositivo controlado pelo atacante. Com o dispositivo aprovado, o invasor entra na conta sem precisar saber o nome de usuário ou a senha.
O OmegaLord segue por outro caminho. Ele se disfarça de leitor de PDF e coleta credenciais de login e números de telefone associados à conta. Esses dados ajudam o criminoso a interceptar, redirecionar ou assumir o controle de solicitações e códigos de MFA.
Alguns sinais merecem atenção imediata em ambientes que usam Microsoft 365:
Há um ponto especialmente traiçoeiro no Jalisco: a página de login pode ser autêntica. A armadilha está no código que a vítima é levada a inserir.
A primeira regra é simples: não digite códigos de autorização recebidos por orientação de terceiros. Se você não iniciou o processo de login, não aprove solicitações e não insira códigos.
O episódio confirma que a MFA continua essencial, mas não anula golpes baseados em convencimento humano. A proteção precisa combinar tecnologia, processos e educação.
Não. A MFA segue como uma camada importante de defesa. O problema é que esses golpes tentam enganar a pessoa para que ela mesma aprove o acesso ou entregue informações úteis ao atacante.
Ele usa uma página legítima de login da Microsoft e induz a vítima a digitar um código que autoriza um dispositivo controlado pelo criminoso.
A pessoa deve avisar imediatamente o time de segurança ou TI. Quanto mais rápido o incidente for tratado, menor a chance de uso indevido da conta Microsoft 365.
A LC SEC ajuda sua organização a reduzir riscos de phishing contra Microsoft 365 com conscientização, inteligência de ameaças, governança de MFA e resposta orientada a incidentes.
Conheca: Pentest, Threat Intelligence com IA, Conscientizacao de Seguranca, SGSI, Plano Diretor de Seguranca, Auditoria Interna, Governanca de MFA e Cofre TOTP, ISO 42001 - IA, Diagnostico Gratuito de Seguranca. lcsec.io