Apesar de uma operação internacional de aplicação da lei ter interrompido a plataforma de phishing **Tycoon2FA** em março, a operação maliciosa foi reconstruída em nova infraestrutura e rapidamente retornou aos níveis de atividade normais. No início deste mês, a **Abnormal Security** confirmou que o **Tycoon2FA** havia retornado às operações normais e até adicionou novas camadas de ofuscação para fortalecer sua resiliência contra novas tentativas de interrupção. No final de abril, o **Tycoon2FA** foi observado em uma campanha que utilizou os fluxos de concessão de autorização de dispositivo do OAuth 2.0 para comprometer contas **Microsoft 365**, indicando que o operador continua a desenvolver o kit. Phishing de código de dispositivo é um tipo de ataque em que atores de ameaça enviam uma solicitação de autorização de dispositivo para o provedor do serviço alvo e encaminham o código gerado para a vítima, enganando-a para inseri-lo na página de login legítima do serviço. Fazer isso autoriza o invasor a registrar um dispositivo malicioso na conta **Microsoft 365** da vítima, dando-lhes acesso irrestrito aos dados e serviços da vítima, incluindo e-mail, calendário e armazenamento de arquivos na nuvem. A **Push Security** alertou recentemente que esse tipo de ataque aumentou significativamente este ano, apoiado por inúmeras plataformas de phishing-as-a-service (PhaaS) e kits privados. Um relatório mais recente da **Proofpoint** registra um aumento semelhante no uso dessa tática. ### Tycoon2FA Adiciona Phishing de Código de Dispositivo De acordo com novas pesquisas da empresa de detecção e resposta gerenciada **eSentire**, o **Tycoon2FA** confirma que o phishing de código de dispositivo se tornou muito popular entre os cibercriminosos. “O ataque começa quando uma vítima clica em um URL de rastreamento de cliques da **Trustifi** em um e-mail de isca e culmina na vítima concedendo inadvertidamente tokens OAuth a um dispositivo controlado pelo invasor através do fluxo de login de dispositivo legítimo da **Microsoft** em microsoft.com/devicelogin”, explica a **eSentire**. “Conectando esses dois pontos finais está uma cadeia de entrega no navegador de quatro camadas, cujo *tradecraft* do **Tycoon 2FA** permanece virtualmente inalterado em relação à variante de retransmissão de credenciais TRU documentada em abril de 2025 e à variante pós-desativação documentada em abril de 2026.” A **Trustifi** é uma plataforma legítima de segurança de e-mail que fornece uma variedade de ferramentas integradas a vários serviços de e-mail, incluindo os da **Microsoft** e **Google**. No entanto, a **eSentire** não sabe como os invasores passaram a usar a **Trustifi**. De acordo com os pesquisadores, o ataque usa um e-mail de phishing com tema de fatura contendo um URL de rastreamento da **Trustifi** que redireciona através da **Trustifi**, **Cloudflare Workers** e várias camadas de JavaScript ofuscadas, levando a vítima a uma página falsa de CAPTCHA da **Microsoft**. A página de phishing recupera um código de dispositivo OAuth da **Microsoft** do backend do invasor e instrui a vítima a copiá-lo e colá-lo em ‘microsoft.com/devicelogin’, após o que a vítima completa a autenticação multifator (MFA) em seu lado. Após esta etapa, a **Microsoft** emite tokens de acesso e atualização OAuth para o dispositivo controlado pelo invasor.  *Fonte: eSentire* O kit de phishing **Tycoon2FA** inclui proteção extensiva contra pesquisadores e varreduras automatizadas, detectando Selenium, Puppeteer, Playwright, Burp Suite, bloqueando fornecedores de segurança, VPNs, sandboxes, rastreadores de IA e provedores de nuvem, e usando armadilhas de tempo de depurador. Solicitações de dispositivos indicando um ambiente de análise são automaticamente redirecionadas para uma página legítima da **Microsoft**, diz a **eSentire**. Os pesquisadores descobriram que a lista de bloqueio do kit atualmente contém 230 nomes de fornecedores e está em constante atualização. A **eSentire** recomenda desabilitar o fluxo de código de dispositivo OAuth quando não for necessário, restringir as permissões de consentimento OAuth, exigir aprovação do administrador para aplicativos de terceiros, habilitar a Avaliação Contínua de Acesso (CAE) e impor políticas de acesso a dispositivos compatíveis. Adicionalmente, os pesquisadores recomendam monitorar os logs do Entra para autenticação de deviceCode, uso do Microsoft Authentication Broker e user agents do Node.js. A **eSentire** publicou um conjunto de [indicadores de comprometimento](http://github.com/eSentire/iocs/blob/main/Tycoon2FA/Tycoon2fa-iocs-03-23-2026.txt) (IoCs) para os ataques mais recentes do **Tycoon2FA** para ajudar os defensores a proteger seus ambientes.