São Paulo — InkDesign News — Pesquisadores de cibersegurança da Varonis Threat Labs alertaram sobre uma campanha de phishing que explora uma vulnerabilidade no Microsoft 365, utilizando o recurso Direct Send para enviar e-mails falsificados a empresas dos EUA desde maio de 2025.
Incidente e vulnerabilidade
A campanha em questão se aproveita do recurso Direct Send do Microsoft 365, que permite a dispositivos internos, como impressoras, enviar e-mails sem autenticação do usuário. Essa prática é vulnerável, pois “nenhum login ou credenciais são exigidos” (“no login or credentials are required”), conforme destacou Tom Barnea, da Varonis Threat Labs. Os atacantes utilizam dados publicamente disponíveis, como domínios empresariais e formatos de endereços de e-mail, frequentemente fáceis de adivinhar.
Impacto e resposta
Desde seu início, a campanha já gerou impactos significativos, afetando mais de 70 organizações, sendo 95% delas localizadas nos Estados Unidos. Os e-mails falsificados, que frequentemente imitam notificações de correio de voz, incluem anexos em PDF contendo códigos QR. Ao escanear esses códigos, as vítimas são direcionadas a páginas falsas de login do Microsoft 365, criadas para roubar credenciais. Como resultado, as medidas de segurança tradicionais têm dificuldade em detectar essas comunicações maliciosas, que são tratadas como legítimas por filtros de e-mail.
Mitigações recomendadas
Para mitigar os riscos associados a essa ameaça, a Varonis recomenda que as organizações verifiquem os cabeçalhos das mensagens de e-mail em busca de sinais de endereços IP externos que enviam para um “smart host” do Microsoft 365, ou falhas nas verificações de autenticação como SPF, DKIM ou DMARC para domínios internos. Além disso, é aconselhável habilitar a configuração Reject Direct Send no Exchange Admin Center e implementar uma política rigorosa de DMARC. Barnea enfatiza que a educação dos usuários é fundamental, especialmente sobre os perigos associados a anexos de código QR em ataques de Quishing (“QR Phishing”).
Por fim, a aplicação de Multi-Factor Authentication (MFA) para todos os usuários e a implementação de Condições de Acesso eficazes podem proteger contas, mesmo que as credenciais sejam comprometidas através dessas sofisticadas tentativas de phishing.
Os riscos residuais, mesmo após a adoção dessas medidas, ainda são significativos, dada a evolução constante das táticas de ataque. Medidas proativas devem ser adotadas continuamente para fortalecer a segurança organizacional.
Fonte: (Hack Read – Segurança Cibernética)
