Sem categoria

O Novo Phishing Não Pede Senha: Tokens do Teams e o Ataque que Dribla o MFA

Posted on by Taithson

Tokens de acesso do Microsoft Teams viram alvo: o que mudou no jogo dos atacantes — e como o Acronis Cyber Protect Cloud (Email Security) reduz o risco

Nos últimos meses, o Microsoft Teams deixou de ser apenas um canal “depois do phish” e passou a figurar como um vetor de ataque de primeira classe. A peça central dessa mudança é o abuso de tokens de acesso, que, quando roubados, permitem que criminosos leiam conversas, acessem emails e explorem arquivos no SharePoint/OneDrive — tudo sem necessidade de senha ou MFA naquele momento. Um artigo recente descreve uma técnica para extrair tokens de autenticação criptografados do cliente do Teams no Windows, viabilizando esse tipo de acesso clandestino.

Esse cenário não nasce no vácuo. A própria Microsoft tem relatado campanhas que exploram o ecossistema do Teams e da identidade em Microsoft 365: grupos como Storm-0324 já enviaram iscas via Teams para entregar malwares que abrem caminho para ransomware; Storm-2372 executou campanhas de phishing com device code; e Midnight Blizzard (APT29) abusou de aplicativos OAuth maliciosos para autenticar em serviços corporativos sem acionar MFA. O fio condutor? Roubo/abuso de tokens e fluxos de autenticação.

A seguir, destrinchamos (1) como funcionam os ataques baseados em tokens no Teams, (2) por que isso amplia a superfície de risco do Microsoft 365 e (3) um plano prático de mitigação — incluindo onde o Acronis Cyber Protect Cloud, com o módulo Advanced Email Security, ajuda de forma concreta a quebrar a cadeia de ataque.

1) O que exatamente está em jogo com “tokens do Teams”?

Tokens: “chaves de sessão” que valem ouro

No Microsoft 365, após o usuário se autenticar, o cliente (Teams/Outlook/Browser) opera com tokens emitidos via Entra ID (ex-Azure AD). Esses tokens dão acesso a APIs (Graph, Exchange Online, SharePoint) conforme escopos e tempo de vida. Se um invasor extrai um token válido da máquina da vítima, ele pode agir como o usuário até o token expirar — e às vezes renovar/refrescar acesso se também captura um refresh token. O artigo citado mostra que mesmo tokens criptografados no Windows podem ser obtidos e reutilizados, comprometendo chats do Teams, emails e arquivos.

Por que isso é sério?

  1. Bypass de MFA no “momento do clique”: o token representa uma sessão já autenticada; portanto, o atacante não precisa refazer MFA para usar aquela sessão.
  2. Persistência silenciosa: com tokens e permissões de app (OAuth), o atacante pode manter acesso sem disparar alertas óbvios, como troca de senha. Casos como Midnight Blizzard mostram o uso de apps OAuth para acessar Exchange Online com tokens válidos.
  3. Lateralidade “por colaboração”: uma vez no Teams, o atacante lança iscas internas (links/arquivos) para outras pessoas e equipes, ampliando o raio de impacto — exatamente o que já se viu com atores como Storm-0324.

“Teams-first” não significa “email-free”

Muita campanha que termina em Teams começa por email: envio de link para instalar um “plugin”, aprovação de app OAuth, documento “compartilhado” (na verdade um phishing) etc. Mesmo as campanhas que exploram o Teams diretamente coexistem com ataques de phishing por email e compromisso de conta (ATO) — tudo para chegar à mesma meta: roubar sessão ou induzir consentimento malicioso. Relatórios e notas recentes reforçam essa convergência entre identidade, Teams e e-mail.

2) Panorama de ameaças: do phishing no Teams ao abuso de OAuth

  • Storm-0324 e o “TeamsPhisher”: campanhas que usam mensagens do Teams para entregar JSSLoader e ceder acesso a operadores de ransomware (Sangria Tempest). Isso ilustra o uso do Teams como vetor inicial (ou de persistência) — e o quanto conteúdo compartilhado internamente pode ser arma do adversário. microsoft.com
  • Midnight Blizzard / APT29: táticas de apps OAuth maliciosos para autenticar contra o Exchange Online; exploração em vários momentos entre 2023-2024; reforço da importância de governança de apps e consentimento de usuários/admins. microsoft.com+1
  • Device Code Phishing (Storm-2372): campanhas desde 2024 abusando do fluxo de código de dispositivo para autenticar sem MFA convencional, com iscas que imitam experiências de mensageria (WhatsApp/Signal/Teams). microsoft.com
  • Técnicas “pós-exploração” em plataformas de colaboração: pesquisa recente descreve “Ghost Calls”, que sequestra credenciais temporárias de TURN (usadas por Teams/Zoom) para camuflar exfiltração em tráfego aparentemente legítimo. Isso não depende de bug simples de corrigir, reforçando controles de detecção comportamental e governança de rede. TechRadar
  • Vulnerabilidades e fraquezas em integrações: além do Teams, falhas e más configurações em Entra ID e apps SaaS integrados (nOAuth) seguem permitindo tomada de contas com baixo esforço e bypass de controles. Embora esse caso seja mais amplo que “Teams”, ele mostra o vetor de identidade federada como linha de frente. TechRadar
  • Abusos adicionais no ecossistema M365: técnicas para contornar filtros usando Exchange Direct Send e outros mecanismos também estão sendo observadas no “campo de batalha” da segurança de email — um lembrete de que o email segue o ponto de entrada nº 1.

Em resumo, a ameaça evoluiu de “phishing tradicional” para operações multi-vetor (email + Teams + OAuth + APIs + exfiltração camuflada). O denominador comum é identidade e sessão — capturar, transferir, reutilizar.

3) Estratégia de mitigação: camadas técnicas + uso seguro

A. Endurecimento de identidade e do Teams/M365

  • Políticas de acesso condicional: reforçar MFA resistente a phishing (FIDO2, número de correspondência), bloquear device code flow fora de contextos confiáveis, limitar consentimento a apps (admin consent), e restrição por localização/dispositivo. Reforçado nos briefings da Microsoft após incidentes de 2023-2025. microsoft.com+1
  • Governança de apps OAuth: revisar apps concedidos, monitorar consent grants, exigir publisher verification e admin consent para escopos sensíveis (Mail.ReadWrite, offline_access). microsoft.com
  • Hardening do Teams: revisar External Access/Guest Access, limitar mensagens de desconhecidos, impor safe links e inspeção de URLs, além de diretrizes do próprio time de Threat Intelligence da Microsoft para reduzir superfícies de abuso. microsoft.com
  • Proteções contra token theft: EDR/antimalware capazes de detectar exfiltração de cookies/tokens e processos que varrem armazenamentos de credenciais do sistema/Apps. (A própria evolução das campanhas mostra a necessidade desse controle.) microsoft.com

B. Segurança de email como “primeira parede”

  • Pré-entrega de phishing/URL/malware: bloquear links e anexos maliciosos antes de chegar ao usuário, reescrever URLs e aplicar análise dinâmica (sandbox) em tempo real.
  • Detecção de BEC/impersonação e ATO: identificar linguagem de fraude, domínios visualmente parecidos, spoofing e sinais de tomada de conta (mudanças anômalas, regras maliciosas).
  • Proteção de marca e autenticação de domínio: implementação rígida de DMARC, DKIM e SPF e políticas de quarentena/rejeição para impedir spoofing.

Esses controles são justamente o foco do Acronis Cyber Protect Cloud – Advanced Email Security (powered by Perception Point), que reúne camadas de detecção (assinaturas, ML, reputação de URL, image recognition), autenticação de domínio e resposta especializada, reduzindo muito as chances de o atacante “entrar” por e-mail e, depois, se mover para o Teams. Acronis+2dl.acronis.com+2

4) Onde o Acronis Cyber Protect Cloud (Email Security) ajuda — na prática

Ponto-chave: embora o problema de tokens do Teams seja pós-autenticação, a maioria das campanhas que chega até isso nasce no e-mail (phish para instalar algo, para aprovar um app, para capturar credenciais, para “validar” MFA). Ao matar o ataque no email, você quebra a cadeia antes que o adversário roube tokens/sessões.

4.1. Bloqueio de phishing e URL maliciosa antes do clique

O módulo Advanced Email Security inspeciona links e anexos com múltiplas camadas: reputação, ML e análise dinâmica. URLs “limpas no envio e trocadas depois” podem ser reavaliadas em tempo real. Isso reduz a chance de o usuário instalar stealers que buscam cookies/tokens ou aprovar apps OAuth falsos usados por grupos como Midnight Blizzard. dl.acronis.com

4.2. BEC/Impersonação e domínios look-alike

Campanhas que pedem “apenas” que o usuário aprove um acesso (consent screen) ou instale um complemento parecem legítimas, muitas vezes simulando TI interno. O motor de impersonação/BEC e os checks de DMARC/DKIM/SPF ajudam a filtrar spoofing e domínios parecidos, reduzindo o sucesso de engenharia social de alto nível que antecede o roubo de sessão. dl.acronis.com

4.3. Account Takeover (ATO) por email

O produto inclui controles para ATO via email (sinais comportamentais, regras maliciosas de inbox, envio anômalo), impedindo que o atacante use a própria caixa comprometida para espalhar iscas (inclusive via links para Teams/SharePoint). Isso corta movimentos laterais e propagação interna. Acronis

4.4. Incident Response e visibilidade

Além do bloqueio automatizado, a solução oferece auditoria/telemetria e acesso a Incident Response especializado (via tecnologia Perception Point) — útil para caça proativa quando há suspeita de que um usuário clicou e instalou algo, ou quando surgem sinais de exfiltração “camuflada” (como táticas que imitam tráfego legítimo de colaboração). Acronis

4.5. Integração com Microsoft 365

Projetada para ambientes Microsoft 365/Exchange Online, a solução opera como camada adicional à frente do Exchange, fortalecendo o “gateway” de entrada e mantendo políticas de domínio para proteger contra spoofing de marca — inclusive quando campanhas exploram Direct Send ou outras rotas menos triviais. Cyber Security News+1

Resultado: menos e-mails perigosos chegam ao usuário; menos máquinas recebem stealers; menos aprovações indevidas de apps OAuth; menos chances de roubo de tokens que, lá na frente, dão ao criminoso as “chaves” do Teams, Exchange e SharePoint.

5) Guia de ação em 3 ondas (SecOps & TI)

Onda 1 — “Pare o sangramento” (0–30 dias)

  1. Implante/habilite Advanced Email Security do Acronis Cyber Protect Cloud para todos os domínios de email corporativos, com política estrita de DMARC (p=reject) e rejeição de falhas SPF/DKIM. dl.acronis.com
  2. Trave o consentimento OAuth: exija admin consent para apps com escopos altos; desabilite consentimento de usuário quando possível; revisite a lista de apps já concedidos. microsoft.com
  3. MFA resistente a phishing e condicional por risco: FIDO2 ou número correspondente; bloqueie device code flow fora de contexto; restrinja login por localização/OS gerenciado. microsoft.com
  4. Teams hardening: limite contatos externos, habilite segurança de links/arquivos, monitore atividades anômalas (convites, compartilhamentos massivos). microsoft.com
  5. Varredura de ATO: use a visibilidade/IR do Acronis para caçar regras de encaminhamento, envios inusitados, respostas automáticas maliciosas — sinais clássicos de tomada de caixa. Acronis

Onda 2 — “Erradique persistências” (31–60 dias)

  1. Rotacione segredos e invalide sessões: force logout de sessões web/clients e revogue refresh tokens quando há suspeita de roubo.
  2. EDR + política de navegador: detecte token stealers, proteja armazenamento de cookies/tokens no endpoint e isole navegação de alto risco.
  3. Revisão de apps: remova apps OAuth excessivos, verifique publisher e reduza escopos; monitore Graph API para uso anômalo. microsoft.com
  4. Treinamento focado em consent screens: eduque usuários para não aprovar apps desconhecidos e reportar telas de consentimento suspeitas tanto quanto links.

Onda 3 — “Sustentabilidade” (60+ dias)

  1. Threat hunting contínuo com apoio do IR do Acronis e telemetria de email: procure sinais de preparação de exfiltração e propagação lateral por links internos/Teams. Acronis
  2. Engenharia de detecção para “Ghost-like channels” e anomalias de tráfego de colaboração; crie queries de hunting no M365 Defender/MDE para APIs do Graph (envio de mensagens, criação de apps, permissões). TechRadar
  3. Teste de mesa + Red Team: simule consentimento malicioso, roubo de cookies/tokens e abuso de Teams; valide se o gateway de email (Acronis) barra as iscas iniciais.

6) Perguntas frequentes de executivos (e respostas rápidas)

“Se o problema é no Teams, por que falar de e-mail?”
Porque a cadeia começa no e-mail. A isca que instala um stealer, o pedido para aprovar um app OAuth, o link “SharePoint” falso — tudo costuma chegar primeiro por email. Derrubando isso, interrompemos a progressão até o roubo de tokens. dl.acronis.com

“O Acronis protege diretamente o Teams?”
O módulo em foco é Email Security — ele endurece a porta de entrada (e-mail) e a identidade de domínio (DMARC/DKIM/SPF), o que indiretamente reduz ataques que terminariam em Teams. Combine-o com hardening de Entra/Teams e EDR no endpoint para cobertura completa. Acronis

“Isso é mesmo atual?”
Sim. A Microsoft publicou em 7 de outubro de 2025 orientações específicas para ameaças que abusam do Teams, citando inclusive campanhas de julho/2025. E o artigo sobre extração de tokens no Teams é de 24 de outubro de 2025. microsoft.com+1

7) Checklist operacional (copie e adapte)

  1. Acronis Email Security em modo bloqueio para todos os domínios; policies agressivas de phishing/BEC/ATO, URL sandboxing e DMARC p=reject. dl.acronis.com
  2. Admin consent only para apps com escopos sensíveis; auditoria mensal de consents e apps no tenant. microsoft.com
  3. MFA resistente a phishing (FIDO2) + Conditional Access por risco/local/dispositivo; bloquear fluxos como device code fora de cenários controlados. microsoft.com
  4. Teams hardening: política de External/Guest Access mínima, inspeção de links/arquivos, monitoramento de mensagens inusitadas. microsoft.com
  5. EDR com detecção de token theft no endpoint; varredura de stealers. (Alinha com táticas vistas contra Teams.) microsoft.com
  6. Playbook de resposta: revogar sessions/refresh tokens, remover apps maliciosos, rotacionar segredos e caçar exfiltração (inclusive “camuflada” em infra de colaboração). TechRadar
  7. Treinamento específico sobre consent screens e “plugins do Teams”.

Conclusão

O ataque aos tokens do Microsoft Teams é um marco da maturidade do adversário: em vez de apostar só em senhas, ele busca capturar e abusar de sessões e permissões de aplicativo — um atalho que dribla MFA e dá acesso direto a Teams, Exchange e SharePoint. O resultado é um risco sistêmico ao Microsoft 365.

A resposta precisa ser em camadas: identidade forte (MFA resistente, governança de apps, políticas condicionais), hardening do Teams, EDR no endpoint e — fundamental — um gateway de e-mail com alta eficácia contra phishing, BEC, ATO e links maliciosos. É aqui que o Acronis Cyber Protect Cloud (Advanced Email Security) brilha: ele reduz drasticamente a chance de o atacante chegar ao ponto de roubar tokens, ao eliminar a isca no e-mail e proteger a marca/domínio contra abuso — apoiado por camadas múltiplas de detecção e equipe de resposta. Em um cenário em que “colaboração é o novo perímetro”, cortar a cadeia antes do clique é, muitas vezes, a diferença entre um incidente menor e um sequestro total do seu ambiente. Acronis+1

Técnica recente de extração de tokens do Teams (Windows) e impactos: Cybersecurity News, 24 out 2025. Cyber Security News

Ameaças direcionadas ao Teams e recomendações (Microsoft, 7 out 2025). microsoft.com

Storm-0324 usando Teams como vetor (Microsoft/DarkReading, set 2023). microsoft.com+1

Device code phishing (Storm-2372) e iscas que imitam mensageria (fev 2025). microsoft.com

Midnight Blizzard e abuso de apps OAuth (jan–mar 2024; HHS analyst note dez 2024). microsoft.com+2microsoft.com+2

“Ghost Calls” (TURN) como canal de exfiltração camuflada (ago 2025). TechRadar

Acronis Cyber Protect Cloud – Email Security (público-alvo Microsoft 365/Google Workspace), features e data sheets. Acronis+2dl.acronis.com+2

Taithson

Deixe um comentário