O avanço do phishing de código de dispositivo mostra como os cibercriminosos estão se adaptando rapidamente às novas camadas de proteção digital. Mesmo após operações policiais que derrubaram parte da infraestrutura do Tycoon2FA em março de 2026, o kit de phishing voltou a circular em maio com técnicas ainda mais sofisticadas e difíceis de detectar.
O retorno do Tycoon2FA acende um alerta importante para equipes de TI, administradores de sistemas e usuários corporativos. Desta vez, os operadores abandonaram parte das técnicas tradicionais de roubo de credenciais e passaram a explorar um fluxo legítimo do OAuth 2.0, conhecido como Device Code Flow, para enganar usuários e contornar mecanismos de autenticação multifator (MFA).
O crescimento desse tipo de ataque preocupa especialistas porque ele explora a confiança do usuário em páginas legítimas da Microsoft. Em vez de roubar diretamente a senha e o código MFA, o invasor induz a vítima a autenticar um dispositivo controlado pelo criminoso, entregando acesso válido à conta corporativa sem disparar muitos mecanismos tradicionais de defesa.
O que é o Tycoon2FA e como ele ressurgiu das cinzas
O Tycoon2FA é um dos kits de Phishing-as-a-Service (PhaaS) mais conhecidos do cenário atual de cibercrime. Ele ganhou notoriedade por permitir que criminosos menos experientes realizassem campanhas avançadas de phishing capazes de interceptar sessões autenticadas e burlar sistemas de MFA.
Após uma série de ações de segurança e desmantelamento parcial de sua infraestrutura no início de 2026, muitos acreditavam que o serviço perderia força. No entanto, o grupo retornou rapidamente com uma arquitetura ainda mais resistente, modular e difícil de rastrear.
Pesquisadores de segurança identificaram novas camadas de ofuscação de código, servidores temporários e uso intenso de infraestrutura terceirizada para dificultar investigações. O objetivo é manter as operações ativas mesmo quando domínios maliciosos são derrubados.
Além disso, o kit passou a investir em campanhas mais direcionadas contra ambientes corporativos que utilizam Microsoft 365, Entra ID e plataformas empresariais integradas ao OAuth 2.0.
Imagem: eSentire
Bloqueio agressivo contra ferramentas de segurança
Uma das evoluções mais preocupantes do novo Tycoon2FA é sua capacidade de detectar ambientes de análise e bloquear pesquisadores de segurança.
O kit implementa mecanismos para identificar ferramentas automatizadas como Selenium, Puppeteer e navegadores instrumentados usados em laboratórios de análise de malware. Caso detecte comportamento suspeito, o conteúdo malicioso simplesmente não é carregado.
Também foram observados bloqueios contra conexões oriundas de VPNs, sandboxes de segurança e até plataformas usadas por empresas de inteligência contra ameaças.
Outro detalhe que chamou atenção dos pesquisadores foi o uso de técnicas para impedir o rastreamento por sistemas automatizados baseados em IA. Isso demonstra como os operadores do kit estão atentos às novas tecnologias defensivas utilizadas pelo mercado de segurança.
Como funciona o phishing de código de dispositivo
O diferencial mais perigoso do novo phishing de código de dispositivo está no abuso de um fluxo legítimo do OAuth 2.0 criado originalmente para facilitar logins em dispositivos com entrada limitada, como smart TVs, consoles e equipamentos IoT.
Nesse modelo, o serviço gera um código temporário que o usuário deve inserir em uma página oficial de autenticação, normalmente a microsoft.com/devicelogin.
O problema começa quando criminosos conseguem convencer a vítima de que aquele processo faz parte de uma verificação corporativa legítima.
Na prática, o ataque funciona assim:
- O invasor inicia um fluxo legítimo de autenticação de dispositivo.
- O sistema gera um código temporário válido.
- A vítima recebe um e-mail fraudulento pedindo para inserir esse código em uma página oficial da Microsoft.
- O usuário autentica normalmente, incluindo o MFA.
- Após a validação, o invasor recebe os tokens OAuth válidos vinculados à sessão autenticada.
O ponto mais perigoso é que o usuário realmente acessa uma página legítima da Microsoft. Isso reduz drasticamente a desconfiança durante o golpe.
Como o login acontece em um domínio confiável, muitos filtros de segurança tradicionais não identificam o comportamento como malicioso.
Em vez de roubar diretamente a senha, os criminosos sequestram a autorização concedida pela própria vítima. Isso torna o ataque de código de dispositivo extremamente eficiente contra empresas que dependem exclusivamente de MFA tradicional.
O abuso de serviços legítimos
Os operadores do Tycoon2FA também passaram a abusar de serviços legítimos para dificultar bloqueios automáticos.
Pesquisadores identificaram o uso de Cloudflare Workers para criar cadeias de redirecionamento difíceis de rastrear. Isso ajuda os criminosos a mascarar a origem real das campanhas de phishing.
Além disso, URLs de rastreamento associadas à plataforma Trustifi também estariam sendo exploradas para aumentar a credibilidade das mensagens enviadas às vítimas.
Esse modelo permite que links aparentemente legítimos atravessem filtros corporativos de e-mail com maior facilidade.
O resultado é uma campanha muito mais convincente, principalmente em ambientes empresariais onde funcionários já estão acostumados a processos de autenticação contínua e integrações baseadas em nuvem.
Como proteger sua infraestrutura contra o ataque de código de dispositivo
A melhor defesa contra o phishing de código de dispositivo envolve combinar políticas técnicas, monitoramento contínuo e conscientização dos usuários.
Segundo recomendações de especialistas em segurança, empresas que não utilizam o fluxo de autenticação por dispositivo devem considerar desativá-lo completamente.
Administradores que utilizam Microsoft Entra ID precisam monitorar cuidadosamente logs relacionados ao OAuth Device Code Flow para identificar tentativas suspeitas de autenticação.
Outro ponto importante é restringir permissões de aplicativos de terceiros. Muitos ataques exploram consentimentos excessivos concedidos sem validação administrativa adequada.
Entre as principais medidas recomendadas estão:
- Desativar o Device Code Flow quando ele não for necessário.
- Aplicar Políticas de Acesso Condicional para limitar autenticações suspeitas.
- Exigir aprovação administrativa para aplicativos OAuth.
- Monitorar tokens OAuth ativos e sessões persistentes.
- Treinar usuários para nunca inserir códigos recebidos por e-mail sem validação prévia.
- Implementar autenticação resistente a phishing, como chaves físicas baseadas em FIDO2.
Outro fator essencial é reforçar políticas de acesso baseadas em contexto, localização e reputação do dispositivo.
Empresas que utilizam apenas MFA via SMS ou aplicativos autenticadores sem controles adicionais podem continuar vulneráveis a ataques de engenharia social mais avançados.
Conclusão e o futuro da autenticação de dois fatores
O retorno do Tycoon2FA mostra que o cenário de ameaças digitais continua evoluindo rapidamente. O uso de phishing de código de dispositivo representa uma mudança importante na forma como criminosos exploram falhas humanas e fluxos legítimos de autenticação.
A principal lição é clara: o MFA tradicional já não é suficiente sozinho contra ataques modernos baseados em engenharia social e abuso de protocolos confiáveis.
Isso não significa que a autenticação multifator perdeu valor, mas sim que ela precisa ser complementada com políticas inteligentes, autenticação resistente a phishing e monitoramento contínuo de identidade.
Para administradores de sistemas e equipes de segurança, entender como funciona o ataque de código de dispositivo tornou-se essencial para proteger ambientes corporativos modernos.
Você já conhecia esse tipo de golpe envolvendo OAuth e MFA? Compartilhe este alerta com sua equipe de TI e ajude mais pessoas a entenderem como os criminosos estão burlando sistemas de autenticação considerados seguros.
