Okta alerta para campanha de vishing “Pink” que registra passkeys adversariais em contas Microsoft 365

A Okta emitiu um alerta sobre uma campanha ativa de vishing que combina chamadas telefônicas fraudulentas com páginas falsas de registro de passkey do Microsoft Entra ID, visando o roubo de credenciais e o sequestro definitivo de contas Microsoft 365. Rastreado como O-UNC-066, CL-CRI-1147 e “Pink”, o grupo opera desde abril e mira setores como automotivo, aviação, construção, alimentício, saúde e tecnologia, principalmente para extorsão de dados. O grande diferencial: os atacantes inscrevem seus próprios passkeys nas contas comprometidas, garantindo persistência mesmo após troca de senha.

O que aconteceu

Pesquisadores da Okta divulgaram uma análise técnica de uma campanha que vem operando há pelo menos três meses contra organizações em múltiplos setores. O modus operandi combina duas técnicas conhecidas — vishing (voice phishing) e phishing por página falsa — mas as adapta a um alvo relativamente novo: o processo de registro de passkey no Microsoft Entra ID, o sistema de identidade que substituiu o antigo Azure Active Directory.

O ataque começa por uma ligação telefônica em que o operador se passa por suporte técnico da Microsoft ou do departamento de TI da própria empresa. A vítima é informada de que precisa registrar um novo passkey por motivos de segurança e recebe um link para o que aparenta ser a página oficial da Microsoft. O domínio contém a palavra “passkey” e reproduz visualmente com fidelidade o fluxo real de enrollment.

Segundo a Okta, o grupo — apelidado internamente de “Pink” pela empresa e também rastreado como CL-CRI-1147 pela Palo Alto Networks — tem como objetivo principal extorsão de dados: comprometer a conta, extrair informação sensível de e-mails, OneDrive e SharePoint, e chantagear a organização com a publicação do conteúdo.

Como o ataque funciona

Tecnicamente, o kit de phishing utilizado explora a pouca familiaridade dos usuários com o fluxo real de registro de passkeys — um mecanismo baseado em FIDO2/WebAuthn que só passou a ser adotado em escala nos últimos dois anos. Enquanto o usuário acredita estar cadastrando sua própria chave, o atacante, do outro lado, inicia um enrollment legítimo com a Microsoft e associa ao token uma nomenclatura inocente (por exemplo, “iPhone 15 – trabalho”) para não levantar suspeita.

“O kit de phishing parece explorar a falta de familiaridade do usuário com autenticação por passkey. Em uma cerimônia real de registro, o usuário esperaria um diálogo do sistema para registrar um passkey em seu dispositivo. As páginas do kit imitam esse processo sem de fato registrar um passkey local.” — Okta

Um detalhe curioso: o kit também pede que a vítima escolha uma “frase de recuperação” a partir de uma lista de palavras BIP-39 — o mesmo padrão usado em carteiras de criptomoedas. Como o BIP-39 não tem aplicabilidade direta no Entra ID, a Okta avalia que essa etapa serve como distração enquanto o passkey do atacante é enrolado em background. É engenharia social usando pistas visuais de segurança para produzir a falsa sensação de que o processo é rigoroso.

Riscos e persistência

O elemento mais preocupante desta campanha é a persistência. Diferente de phishing tradicional — em que a mitigação padrão é trocar senha e revogar sessões — um passkey adversarial fica registrado no diretório oficial da conta. Se a organização não auditar métodos de autenticação registrados, o atacante mantém acesso mesmo após o incidente ser “considerado resolvido”.

  • Roubo de credenciais e sequestro persistente de contas Microsoft 365
  • Exfiltração de dados corporativos armazenados em OneDrive, SharePoint e Exchange
  • Extorsão contra a vítima com ameaça de divulgação pública dos dados
  • Uso da conta comprometida para pivotar contra parceiros e clientes (business email compromise)
  • Bypass de MFA baseada em SMS ou app authenticator, já que o passkey do atacante substitui esses fatores

Análise

A campanha “Pink” é sintomática de uma tendência maior que vem se consolidando em 2026: atacantes já não tentam quebrar autenticação forte por força bruta ou interceptação de tokens. Eles miram diretamente o processo de enrollment, ou seja, o momento em que a organização confia no usuário para adicionar novos fatores. Se você consegue convencer a vítima a registrar seu passkey em nome dela, você não precisa mais roubar nada — você tem uma credencial legítima.

Isso ecoa técnicas já vistas em campanhas anteriores contra a Okta e o Cisco Duo, em que atacantes exploraram fluxos de auto-enrollment para adicionar dispositivos MFA controlados. A diferença é que o passkey, por ser considerado “resistente a phishing”, tende a receber menos atenção defensiva — administradores confiam no fator e monitoram pouco quem o cadastrou.

Para o Brasil, o cenário é particularmente relevante porque adoção de passkeys em ambientes corporativos ainda está no início. Empresas que estão saindo agora do modelo senha + SMS para passkey vão passar por uma janela de risco em que os usuários não sabem como o fluxo legítimo deveria se parecer — exatamente o vetor que o kit “Pink” explora. O programa de conscientização precisa ser atualizado antes, não depois, do rollout técnico.

Recomendações práticas

  • Auditar regularmente os métodos de autenticação registrados em contas Microsoft Entra, procurando passkeys com nomes suspeitos ou registrados fora do horário/geolocalização típica do usuário
  • Restringir o registro de passkeys a redes corporativas confiáveis ou via política de dispositivos gerenciados (Conditional Access)
  • Implementar alertas em tempo real para novos passkeys enrollados, com notificação ao usuário e ao SOC
  • Bloquear domínios recém-registrados que contenham a palavra “passkey” ou variações no perímetro (proxy DNS, SEG de e-mail)
  • Rodar treinamentos práticos mostrando exatamente como o fluxo real de passkey do Windows Hello e do iOS se parece — a defesa contra este ataque é reconhecer a UI legítima
  • Adotar política de “callback verification” para ligações que peçam qualquer ação em conta corporativa: nenhum pedido feito por telefone é executado sem confirmação por outro canal
  • Considerar Attack Surface Reduction do Microsoft Defender para bloquear tentativas de abertura de páginas que imitam o Entra ID

Fonte: SecurityWeek

TheNinja

Recent Posts

CISA publica post-mortem de vazamento de chaves AWS GovCloud em GitHub pessoal de contratado

CISA detalha resposta a incidente em que credenciais AWS GovCloud e código de infraestrutura interno…

6 horas ago

Zimbra alerta para falha crítica de XSS armazenado no Classic Web Client; patch 10.1.19 é obrigatório

Zimbra emite alerta crítico após identificar vulnerabilidade stored XSS no Classic Web Client que permite…

6 horas ago

ANPD publica o 1º relatório do sandbox de IA: Metatext, Synapse AI e Prevvine sob supervisão desde março

ANPD divulga 1º Relatório Parcial do Sandbox Regulatório de IA: Metatext, Synapse AI e Prevvine…

10 horas ago

Grok 4.5 gasta 4,2x menos tokens que Opus 4.8 no SWE-Bench Pro: SpaceXAI aposta na eficiência para vencer no custo por tarefa

Grok 4.5 chega com foco em código e agentes: 15.954 tokens médios em SWE-Bench Pro…

10 horas ago

Qualcomm compra Modular por US$ 3,9 bi para atacar o fosso do CUDA: MAX e Mojo entram na guerra por data centers

Qualcomm anuncia compra da Modular por ~US$ 3,9 bi para desafiar CUDA da NVIDIA com…

10 horas ago