Falar de campanhas de phishing com erros ortográficos, gramaticais e visual amador ficou no passado. Hoje, essa ameaça evoluiu, e o EvilTokens é um exemplo recente e representativo dessa transformação: em vez de falsificar páginas de login, ele utiliza processos de autenticação legítimos para roubar acessos.

Essa nova campanha de phishing, detectada pela equipe de Detecção e Pesquisa de Ameaças da Sekoia e com intensa atividade em março de 2026, já não depende mais de um e-mail falso, de uma página clonada ou do roubo de credenciais.

Nesse esquema, é a própria vítima quem acessa um site real e interage com a infraestrutura legítima da Microsoft, onde o processo de autenticação utiliza serviços oficiais: a autenticação é válida e é a própria vítima quem autoriza o acesso. O cibercriminoso não rouba a senha para entrar na conta, mas obtém tokens de login legítimos emitidos pelo provedor de identidade.

Dessa forma, o cibercriminoso consegue uma sessão legítima, autenticada corretamente, com a autenticação multifator (MFA) aprovada e até emitida pela própria Microsoft. E tudo isso sem precisar roubar uma senha ou comprometer a plataforma, já que é a vítima quem autoriza o acesso.

A seguir, vamos analisar como funciona essa campanha de phishing, de que maneira ela rouba contas e como os usuários podem se proteger de uma ameaça tão atual quanto perigosa.

O que é o EvilTokens?

O EvilTokens é uma plataforma de Phishing as a Service (PhaaS) criada para comprometer contas do Microsoft 365, inclusive aquelas protegidas com autenticação multifator (MFA), explorando o fluxo OAuth conhecido como Device Code Flow.

Os cibercriminosos enganam a vítima para que ela conclua o processo de autenticação nas páginas oficiais de login da Microsoft. Dessa forma, conseguem acessar recursos e dados sem levantar suspeitas, como se fosse uma atividade legítima do próprio usuário.

Essa campanha, ativa desde pelo menos fevereiro de 2026, circula por canais no Telegram. Apenas durante março, segundo a Huntress, ela afetou quase 350 organizações, com foco principalmente nos Estados Unidos, Canadá, Austrália, Nova Zelândia e Alemanha.

Desde meados de março de 2026, a própria Microsoft observou o lançamento de entre 10 e 15 campanhas diferentes a cada 24 horas.

O ataque: passo a passo

Para entender como o EvilTokens funciona, detalhamos abaixo o passo a passo do ataque:

1. Validação

Primeiro, cibercriminosos verificam se a conta realmente existe. Como? Por meio de uma funcionalidade legítima da Microsoft que permite confirmar a existência da conta. Esse reconhecimento prévio costuma ser feito vários dias antes da tentativa de phishing, para garantir que apenas contas válidas sejam atacadas e aumentar as chances de sucesso.

2. Início da autenticação

O cibercriminosos geram uma solicitação legítima de acesso utilizando o fluxo OAuth Device Code da Microsoft. Em termos mais simples, ele “abre” uma sessão para a qual a Microsoft gera um código temporário que fica aguardando autorização. Esse detalhe é fundamental: o código fica vinculado à sessão criada pelo próprio grupo criminoso.

3. O golpe

Em seguida, os cibercriminosos do grupo enviam à vítima uma mensagem convincente por e-mail, convite, suposto documento ou alerta corporativo. Para isso, utiliza frases chamativas como “Conclua a validação na Microsoft”, “Você tem um documento pendente” ou “Assinatura necessária”, entre outros pretextos.

4. Acesso à Microsoft

Se a vítima cair no golpe e clicar no link, será redirecionada ao portal oficial da Microsoft, onde tanto o domínio quanto o fluxo de autenticação são legítimos, tornando o ataque ainda mais convincente.

5. Inserção do código

Essa etapa é crítica, porque o código não pertence a uma ação iniciada pela vítima, mas sim ao login iniciado pelos cibercriminosos. Sem perceber, a vítima acaba vinculando sua conta à sessão controlada pelo grupo.

6. Aprovação do acesso

Após a inserção do código, a Microsoft interpreta que o usuário autorizou o login. Com isso, emite access tokens, credenciais temporárias que permitem acessar uma conta autenticada sem precisar inserir novamente usuário e senha, e também refresh tokens, que possuem maior duração e permitem gerar novos access tokens automaticamente.

O problema é que esses tokens são entregues diretamente à sessão controlada pelos cibercriminosos.

A chave do ataque do EvilTokens

O OAuth Device Code Flow é a chave do sucesso do ataque do EvilTokens. Ou, mais precisamente, a exploração desse mecanismo legítimo de autenticação da Microsoft.

Criado para dispositivos com capacidades limitadas, como Smart TVs, impressoras e equipamentos IoT, esse recurso permite realizar login manualmente em situações nas quais a autenticação convencional pode ser inconveniente.

Como funciona? Um dispositivo solicita um código; depois, o usuário acessa a página da Microsoft e insere o código recebido. Em seguida, a Microsoft valida a autenticação e emite tokens de acesso para o dispositivo.

O problema surge quando esse fluxo é explorado por um cibercriminoso, que consegue gerar device codes para distribuí-los em campanhas de phishing.

Se a vítima não perceber que se trata de um golpe e inserir o código no portal legítimo, a Microsoft entregará tokens válidos, mas vinculados à sessão controlada por cibercriminosos.

Por que o EvilTokens é tão perigoso?

O EvilTokens é especialmente perigoso porque não apresenta os “sinais clássicos” do phishing: não utiliza domínios suspeitos nem contém erros visuais ou gramaticais. Pelo contrário, todo o fluxo é tecnicamente legítimo, incluindo o site, o MFA e o processo de autenticação.

Em outras palavras, como tudo acontece dentro da infraestrutura da Microsoft, a vítima confia no processo e não desconfia de que está diante de um golpe.

Outro ponto crítico é que, quando o ataque funciona, o cibercriminoso obtém acesso persistente a e-mails e documentos corporativos, abrindo espaço para fraudes altamente direcionadas e ataques do tipo Business Email Compromise (BEC).

Nesse contexto, não é por acaso que os principais alvos dos criminosos sejam áreas como Financeiro, Recursos Humanos e Logística, além de cargos executivos.

Como evitar cair nessa nova campanha de phishing?

O EvilTokens representa uma evolução nas campanhas de phishing e, por isso, é fundamental adotar medidas capazes de reduzir significativamente o risco de ser vítima desse golpe:

  • Desconfie: uma prática essencial é olhar com cautela para qualquer solicitação inesperada de código de autenticação. Também é importante ter em mente que nenhum documento, e-mail ou plataforma deveria pedir a inserção de um device code sem um contexto claro.
  • Verifique: sempre confira qual aplicativo você está autorizando, qual serviço está solicitando permissões e para qual finalidade.
  • Limite: é possível reduzir a superfície de ataque desabilitando o uso do Device Code Flow. Também vale revisar acessos recentes e dispositivos autenticados, encerrando logins suspeitos ou desnecessários.
  • Capacite: como o phishing moderno já não se limita ao roubo de senhas, é fundamental que as empresas orientem seus colaboradores para que não aprovem acessos sem compreender o alcance da ação.
  • Reporte: diante de qualquer comportamento estranho ou solicitação inesperada de autenticação, rejeite a ação e comunique imediatamente as equipes de TI ou Cibersegurança. Em ataques como o EvilTokens, cada minuto faz diferença.