Ghost Phishing: nova ameaça ao Microsoft 365

Escrito por
Jardeson Márcio
Jardeson Márcio é Jornalista e Mestre em Tecnologia Agroalimentar pela Universidade Federal da Paraíba. Com 8 anos de experiência escrevendo no SempreUpdate, Jardeson é um especialista...

Entenda como a campanha EvilTokens usa criptografia e navegador para escapar dos filtros de e-mail tradicionais.

O Ghost Phishing representa uma nova geração de ataques de engenharia social em que e-mails aparentemente limpos conseguem escapar de filtros tradicionais e revelar sua verdadeira ameaça apenas quando chegam ao navegador da vítima. A campanha EvilTokens mostra como os criminosos estão mudando suas estratégias para explorar uma lacuna crítica: a diferença entre aquilo que as ferramentas de segurança conseguem analisar no servidor e aquilo que realmente acontece no dispositivo do usuário.

Durante anos, empresas investiram em filtros de spam, análise de URLs, reputação de domínios e mecanismos de detecção baseados em inteligência artificial para bloquear mensagens maliciosas. Porém, o avanço de técnicas como o phishing fantasma demonstra que a segurança de e-mail precisa acompanhar uma nova realidade: o conteúdo perigoso pode permanecer invisível até o momento em que o navegador executa os componentes necessários para montar o ataque.

A campanha EvilTokens ganhou atenção por utilizar técnicas avançadas de ocultação combinadas com Device Code Phishing, permitindo que invasores obtenham acesso a ambientes corporativos do Microsoft 365 sem necessariamente roubar senhas. Este artigo explica como essa ameaça funciona, quais setores estão mais expostos e quais medidas podem reduzir os riscos.

O que é o Ghost Phishing e como funciona a campanha EvilTokens

O Ghost Phishing é uma técnica em que o conteúdo malicioso de uma página ou mensagem não aparece claramente durante as análises iniciais realizadas por sistemas de segurança. Em vez de entregar um código malicioso pronto, o atacante envia uma estrutura aparentemente inofensiva que só é reconstruída no ambiente do navegador.

Na campanha EvilTokens, os criminosos utilizam páginas de phishing hospedadas em infraestrutura controlada por eles, mas projetadas para evitar a detecção por ferramentas automáticas. O objetivo é fazer com que scanners tradicionais enxerguem apenas arquivos estáticos sem elementos claramente suspeitos.

O ataque funciona principalmente através de uma combinação entre criptografia no lado do cliente, execução dinâmica de scripts e manipulação do navegador. Enquanto uma ferramenta de segurança analisa o conteúdo recebido pelo servidor de e-mail, a vítima recebe uma página que ainda não contém visualmente o formulário falso ou os componentes usados para capturar informações.

Quando o usuário abre o link, o navegador executa os scripts necessários, descriptografa os dados ocultos e cria a interface final do golpe dentro do DOM (Document Object Model).

Essa abordagem representa uma mudança importante no cenário de defesa digital. O ataque deixa de ser apenas um arquivo ou uma URL maliciosa e passa a ser um processo executado em tempo real.

HRMNojSf ghost phishing nova ameaca ao microsoft 365
Imagem: TheHackerNews

A armadilha da criptografia AES-GCM

Um dos elementos técnicos mais relevantes do Ghost Phishing utilizado pela campanha EvilTokens é o uso de AES-GCM (Advanced Encryption Standard com Galois/Counter Mode) para esconder partes fundamentais da página falsa.

A criptografia impede que mecanismos tradicionais de inspeção encontrem facilmente palavras-chave, formulários suspeitos ou códigos associados a páginas de login fraudulentas. O conteúdo entregue inicialmente pode parecer apenas uma página comum com scripts aparentemente genéricos.

Somente após o carregamento no navegador da vítima ocorre a descriptografia dos componentes escondidos. Nesse momento, o código JavaScript reconstrói a página maliciosa diretamente no ambiente do usuário.

Esse comportamento dificulta a atuação de soluções que dependem exclusivamente da análise prévia do conteúdo, como filtros de URL, gateways de e-mail e sistemas baseados em assinaturas.

A ameaça deixa claro que os mecanismos de segurança precisam observar também o comportamento durante a execução, incluindo alterações no navegador, chamadas externas e criação dinâmica de elementos.

O perigo do Device Code Phishing

Outro ponto crítico da campanha EvilTokens é o uso do Device Code Phishing, uma técnica que explora o fluxo legítimo de autenticação oferecido por plataformas como o Microsoft Entra ID.

Diferentemente do phishing tradicional, onde o criminoso tenta capturar usuário e senha, esse método tenta convencer a vítima a inserir um código de autenticação legítimo em uma página controlada pelo atacante.

O invasor inicia uma solicitação de autenticação e gera um código temporário. Em seguida, envia esse código para a vítima por meio de uma página falsa, instruindo-a a confirmar o acesso em um dispositivo.

Caso a vítima conclua o processo, o criminoso pode receber um token válido de acesso e entrar no ambiente corporativo sem conhecer a senha real.

Essa técnica é especialmente perigosa porque pode contornar algumas proteções tradicionais, incluindo cenários onde a empresa utiliza autenticação multifator (MFA). O problema não está apenas na senha, mas na autorização concedida pelo próprio usuário.

Os setores mais atingidos e o impacto no ambiente corporativo

A campanha EvilTokens demonstra uma tendência preocupante: os ataques modernos estão mirando organizações que dependem intensamente de serviços em nuvem e colaboração digital.

Segundo análises divulgadas pela plataforma de segurança ANY.RUN, campanhas desse tipo têm atingido principalmente setores como consultorias, serviços financeiros, manufatura e empresas de tecnologia.

Empresas de consultoria são alvos atrativos porque frequentemente possuem acesso a ambientes de diversos clientes. Um único comprometimento pode abrir caminho para ataques em cadeia.

No setor financeiro, o interesse dos criminosos envolve informações sensíveis, movimentações internas e possibilidade de fraude. Já organizações industriais e de manufatura enfrentam riscos relacionados a propriedade intelectual, credenciais corporativas e interrupção operacional.

As empresas de tecnologia também representam alvos estratégicos devido ao acesso privilegiado de seus funcionários, desenvolvedores e administradores de sistemas.

O impacto de um ataque bem-sucedido pode incluir roubo de tokens de autenticação, movimentação lateral dentro da rede, comprometimento de contas privilegiadas e exposição de dados armazenados em serviços como Microsoft 365, SharePoint e OneDrive.

A principal preocupação é que métodos tradicionais de defesa podem identificar o e-mail como seguro enquanto o ataque permanece adormecido até a interação do usuário.

Como proteger sua infraestrutura contra o Phishing Fantasma

Combater o Ghost Phishing exige uma abordagem baseada em múltiplas camadas de proteção. A segurança não pode depender apenas da filtragem inicial de mensagens.

Uma das medidas mais importantes é ampliar o monitoramento para o comportamento do navegador. Equipes de segurança devem observar atividades suspeitas como:

• Execução inesperada de JavaScript em páginas de autenticação;

• Criação dinâmica de formulários de login;

• Redirecionamentos incomuns após acesso a links recebidos por e-mail;

• Solicitações de autenticação fora do padrão corporativo.

O uso de sandboxes interativas também se torna fundamental. Diferentemente de análises estáticas, esses ambientes permitem executar páginas suspeitas e observar seu comportamento real antes que elas cheguem aos usuários.

Ferramentas de análise comportamental ajudam equipes de SOC (Security Operations Center) a identificar ameaças que só aparecem durante a execução.

Outra recomendação é reforçar políticas relacionadas ao Device Code Phishing. Usuários devem ser treinados para desconfiar de solicitações inesperadas envolvendo códigos de autenticação, principalmente quando não iniciaram nenhum processo de login.

Administradores de ambientes Microsoft 365 também devem revisar:

• Políticas de acesso condicional;

• Restrições para autenticações incomuns;

• Monitoramento de tokens e sessões;

• Alertas para comportamentos anormais de usuários.

A conscientização continua sendo uma das principais barreiras contra ataques desse tipo. Mesmo com ferramentas avançadas, o usuário permanece como parte essencial da cadeia de defesa.

Conclusão

O Ghost Phishing mostra que a segurança de e-mail entrou em uma nova fase. Os criminosos não precisam mais enviar mensagens obviamente maliciosas ou páginas facilmente identificáveis. Agora, eles podem esconder a ameaça até que ela seja reconstruída dentro do navegador da própria vítima.

A campanha EvilTokens reforça que empresas precisam abandonar uma visão limitada baseada apenas em filtros tradicionais e adotar mecanismos capazes de analisar comportamento, execução e contexto.

A proteção contra essa nova geração de ataques depende da combinação entre tecnologia, monitoramento contínuo e educação dos usuários.

Compartilhe este artigo
Jardeson Márcio é Jornalista e Mestre em Tecnologia Agroalimentar pela Universidade Federal da Paraíba. Com 8 anos de experiência escrevendo no SempreUpdate, Jardeson é um especialista em Android, Apple, Cibersegurança e diversos outros temas do universo tecnológico. Seu foco é trazer análises aprofundadas, notícias e guias práticos sobre segurança digital, mobilidade, sistemas operacionais e as últimas inovações que moldam o cenário da tecnologia.