Mirage2FA: kit de phishing usa HTML smuggling para sequestrar contas Microsoft 365 e burlar MFA

Resumo: pesquisadores da Fortra identificaram um novo kit de phishing batizado de Mirage2FA, que combina HTML smuggling com JavaScript ofuscado para entregar páginas de login falsas do Microsoft 365 e capturar credenciais em tempo real durante prompts de MFA. O kit aceita autenticadores via app, number matching e — em código ainda não confirmado em produção — verificação por SMS. O alvo final é o account takeover completo do Microsoft 365.

O que aconteceu

A análise da Fortra partiu de um anexo HTML+JavaScript suspeito recebido por e-mail, telemetria de DNS e da inspeção da página de phishing de segundo estágio. O isco corporativo é familiar: documentos “seguros”, remessas, faturamento automatizado, solicitações de pagamento. Ao abrir o anexo, a vítima vê uma página com a identidade visual da Microsoft, simulando um “documento empresarial protegido”.

O domínio de comando, cheacker[.]store, foi registrado em 16 de março — pista forte de que se trata de uma campanha de curta duração, o padrão burner-domain que dificulta blocklists. A página de segundo estágio mimetiza fielmente o fluxo de sign-in do Microsoft 365, incluindo uma falsa tela de CAPTCHA antes da coleta de credenciais.

Como o ataque funciona

O payload HTML inicial é uma forma sofisticada de HTML smuggling. O JavaScript embutido é ofuscado para escapar de inspeção estática, depois decodificado e executado em tempo de execução. A Fortra documentou o uso combinado de Base64, XOR com chave 0xAD, TextDecoder e eval() para reconstruir o código real apenas dentro do browser da vítima. Isso evita que sandboxes de e-mail que apenas escaneiam o conteúdo bruto consigam ver a verdadeira intenção do anexo.

Decifrado o código, a segunda etapa carrega a página falsa do Microsoft 365, com campos de e-mail e senha, prompt de CAPTCHA e — a peça central — uma rotina para capturar o desafio de MFA. A página suporta vários métodos: confirmação por authenticator app, number matching e, identificado em código, SMS one-time password. Para o atacante, isso significa entregar o cookie ou o token de sessão em tempo real, no momento em que o usuário aprova o login — uma técnica classicamente conhecida como AiTM (adversary-in-the-middle) que neutraliza MFA baseado em push.

O objetivo provável é o account takeover do Microsoft 365. Se a vítima submeter as credenciais, o atacante pode acessar e-mail, arquivos, mensagens do Teams, conteúdo do SharePoint e outros recursos SaaS conectados.

Por que isso importa

O Microsoft 365 deixou de ser apenas o e-mail corporativo. Em organizações com Entra ID como IdP, comprometer uma conta significa atalho para SharePoint, OneDrive, Teams, Exchange, Power BI e qualquer aplicação SaaS federada via SAML/OAuth. Para o atacante, é o nó de identidade que abre múltiplas portas. Por isso o Microsoft 365 segue como o alvo predileto de campanhas de roubo de credenciais, e por que técnicas AiTM continuam evoluindo.

• Indicadores publicados pela Fortra incluem os domínios cheacker[.]store e user.cheacker[.]store, além de um endereço IP e recursos JavaScript específicos.
• Funcionários que abriram a página devem ter senhas resetadas, sessões e refresh tokens revogados, métodos de MFA reavaliados, regras de caixa postal inspecionadas e OAuth grants revisados.
• Anexos HTML continuam sendo um vetor subestimado: muitos filtros de e-mail só inspecionam ZIPs, PDFs e Office; HTML passa.

Análise: HTML smuggling vira commodity para AiTM contra MFA

O Mirage2FA não inventa nada do zero. HTML smuggling foi popularizado por Nobelium/APT29 em 2021, depois adotado em massa por afiliados de Qakbot, IcedID e operadores de ransomware. Phishing como serviço — Tycoon, EvilProxy, Rockstar2FA, Mamba2FA — entrega kits que já fazem AiTM contra Microsoft 365 desde 2023. O que o relatório da Fortra mostra é a maturação dessa indústria: anexos HTML com layered decoding, fluxo MFA com múltiplos métodos plug-and-play e infraestrutura de curtíssima vida útil.

O diferencial do Mirage2FA é justamente como tudo se encaixa. O loader ofuscado em camadas (Base64 + XOR 0xAD + TextDecoder + eval) é desenhado para vencer EDRs/MTAs que tentam emular o anexo em sandbox; o domínio recente garante que blocklists ainda não conhecem o C2; e o suporte a number matching e SMS deixa claro que os operadores assumem que a vítima já abandonou OTP simples — eles preparam o terreno para tudo o que a Microsoft empurrou nos últimos dois anos.

Para o leitor brasileiro, vale lembrar que campanhas similares já se mostraram extremamente eficazes contra escritórios contábeis, jurídicas e PMEs que adotaram Microsoft 365 sem habilitar policies condicionais granulares. O custo de um único takeover bem sucedido — BEC (Business Email Compromise) com redirecionamento de boleto/PIX, exfiltração de SharePoint, fraude na cadeia de fornecedores — é facilmente seis dígitos.

Recomendações práticas

• Migre o que puder para autenticação resistente a phishing. FIDO2/passkeys e Windows Hello for Business são imunes ao AiTM porque o navegador atrela a credencial à origem real (origin binding). Comece pelos administradores e perfis sensíveis (finance, RH, executivos).
• Endureça Conditional Access no Entra ID. Exija dispositivo gerenciado/compliant, ambiente confiável e bloqueio para autenticações vindas de geolocalizações anômalas ou ASNs de hosting. Considere policies de token protection.
• Bloqueie anexos HTML por padrão. Em Defender for Office 365 ou no gateway de e-mail, marque anexos .html/.htm como suspeitos. Permita exceções por sender allowlist em vez do contrário.
• Caçar IoCs. Bloqueie cheacker[.]store e user.cheacker[.]store em firewall, DNS resolver e proxy. Cheque logs do EntraID por SignInLogs com sucesso seguido de IP/UA incomum.
• Response playbook para suspeita de takeover: reset de senha, revogação de sessões e refresh tokens (Revoke-MgUserSignInSession), revisão e remoção de regras de inbox automáticas, auditoria de OAuth grants e enterprise apps adicionados pela vítima.
• Treinamento focado, não genérico. Mostre aos usuários como uma página de phishing AiTM se parece — ela é praticamente idêntica à da Microsoft. O sinal vermelho está na URL, não na aparência.

Fonte: Help Net Security.