Mirage2FA: kit de phishing usa HTML smuggling para sequestrar contas Microsoft 365 e burlar MFA
Pesquisadores da Fortra detalham o Mirage2FA, um kit de phishing que combina anexos HTML ofuscados com fluxo AiTM completo contra Microsoft 365 — incluindo number matching e SMS. Domínio cheacker[.]store é o C2. Account takeover é o alvo final.
Resumo: pesquisadores da Fortra identificaram um novo kit de phishing batizado de Mirage2FA, que combina HTML smuggling com JavaScript ofuscado para entregar páginas de login falsas do Microsoft 365 e capturar credenciais em tempo real durante prompts de MFA. O kit aceita autenticadores via app, number matching e — em código ainda não confirmado em produção — verificação por SMS. O alvo final é o account takeover completo do Microsoft 365.
O que aconteceu
A análise da Fortra partiu de um anexo HTML+JavaScript suspeito recebido por e-mail, telemetria de DNS e da inspeção da página de phishing de segundo estágio. O isco corporativo é familiar: documentos “seguros”, remessas, faturamento automatizado, solicitações de pagamento. Ao abrir o anexo, a vítima vê uma página com a identidade visual da Microsoft, simulando um “documento empresarial protegido”.
O domínio de comando, cheacker[.]store, foi registrado em 16 de março — pista forte de que se trata de uma campanha de curta duração, o padrão burner-domain que dificulta blocklists. A página de segundo estágio mimetiza fielmente o fluxo de sign-in do Microsoft 365, incluindo uma falsa tela de CAPTCHA antes da coleta de credenciais.
Como o ataque funciona
O payload HTML inicial é uma forma sofisticada de HTML smuggling. O JavaScript embutido é ofuscado para escapar de inspeção estática, depois decodificado e executado em tempo de execução. A Fortra documentou o uso combinado de Base64, XOR com chave 0xAD, TextDecoder e eval() para reconstruir o código real apenas dentro do browser da vítima. Isso evita que sandboxes de e-mail que apenas escaneiam o conteúdo bruto consigam ver a verdadeira intenção do anexo.
Decifrado o código, a segunda etapa carrega a página falsa do Microsoft 365, com campos de e-mail e senha, prompt de CAPTCHA e — a peça central — uma rotina para capturar o desafio de MFA. A página suporta vários métodos: confirmação por authenticator app, number matching e, identificado em código, SMS one-time password. Para o atacante, isso significa entregar o cookie ou o token de sessão em tempo real, no momento em que o usuário aprova o login — uma técnica classicamente conhecida como AiTM (adversary-in-the-middle) que neutraliza MFA baseado em push.
O objetivo provável é o account takeover do Microsoft 365. Se a vítima submeter as credenciais, o atacante pode acessar e-mail, arquivos, mensagens do Teams, conteúdo do SharePoint e outros recursos SaaS conectados.
Por que isso importa
O Microsoft 365 deixou de ser apenas o e-mail corporativo. Em organizações com Entra ID como IdP, comprometer uma conta significa atalho para SharePoint, OneDrive, Teams, Exchange, Power BI e qualquer aplicação SaaS federada via SAML/OAuth. Para o atacante, é o nó de identidade que abre múltiplas portas. Por isso o Microsoft 365 segue como o alvo predileto de campanhas de roubo de credenciais, e por que técnicas AiTM continuam evoluindo.
- Indicadores publicados pela Fortra incluem os domínios
cheacker[.]storeeuser.cheacker[.]store, além de um endereço IP e recursos JavaScript específicos. - Funcionários que abriram a página devem ter senhas resetadas, sessões e refresh tokens revogados, métodos de MFA reavaliados, regras de caixa postal inspecionadas e OAuth grants revisados.
- Anexos HTML continuam sendo um vetor subestimado: muitos filtros de e-mail só inspecionam ZIPs, PDFs e Office; HTML passa.
Análise: HTML smuggling vira commodity para AiTM contra MFA
O Mirage2FA não inventa nada do zero. HTML smuggling foi popularizado por Nobelium/APT29 em 2021, depois adotado em massa por afiliados de Qakbot, IcedID e operadores de ransomware. Phishing como serviço — Tycoon, EvilProxy, Rockstar2FA, Mamba2FA — entrega kits que já fazem AiTM contra Microsoft 365 desde 2023. O que o relatório da Fortra mostra é a maturação dessa indústria: anexos HTML com layered decoding, fluxo MFA com múltiplos métodos plug-and-play e infraestrutura de curtíssima vida útil.
O diferencial do Mirage2FA é justamente como tudo se encaixa. O loader ofuscado em camadas (Base64 + XOR 0xAD + TextDecoder + eval) é desenhado para vencer EDRs/MTAs que tentam emular o anexo em sandbox; o domínio recente garante que blocklists ainda não conhecem o C2; e o suporte a number matching e SMS deixa claro que os operadores assumem que a vítima já abandonou OTP simples — eles preparam o terreno para tudo o que a Microsoft empurrou nos últimos dois anos.
Para o leitor brasileiro, vale lembrar que campanhas similares já se mostraram extremamente eficazes contra escritórios contábeis, jurídicas e PMEs que adotaram Microsoft 365 sem habilitar policies condicionais granulares. O custo de um único takeover bem sucedido — BEC (Business Email Compromise) com redirecionamento de boleto/PIX, exfiltração de SharePoint, fraude na cadeia de fornecedores — é facilmente seis dígitos.
Recomendações práticas
- Migre o que puder para autenticação resistente a phishing. FIDO2/passkeys e Windows Hello for Business são imunes ao AiTM porque o navegador atrela a credencial à origem real (origin binding). Comece pelos administradores e perfis sensíveis (finance, RH, executivos).
- Endureça Conditional Access no Entra ID. Exija dispositivo gerenciado/compliant, ambiente confiável e bloqueio para autenticações vindas de geolocalizações anômalas ou ASNs de hosting. Considere policies de token protection.
- Bloqueie anexos HTML por padrão. Em Defender for Office 365 ou no gateway de e-mail, marque anexos
.html/.htmcomo suspeitos. Permita exceções por sender allowlist em vez do contrário. - Caçar IoCs. Bloqueie
cheacker[.]storeeuser.cheacker[.]storeem firewall, DNS resolver e proxy. Cheque logs do EntraID por SignInLogs com sucesso seguido de IP/UA incomum. - Response playbook para suspeita de takeover: reset de senha, revogação de sessões e refresh tokens (
Revoke-MgUserSignInSession), revisão e remoção de regras de inbox automáticas, auditoria de OAuth grants e enterprise apps adicionados pela vítima. - Treinamento focado, não genérico. Mostre aos usuários como uma página de phishing AiTM se parece — ela é praticamente idêntica à da Microsoft. O sinal vermelho está na URL, não na aparência.
Fonte: Help Net Security.
