Uma campanha de phishing batizada de CodeStorm está sequestrando contas reais do Microsoft 365 para enviar e-mails fraudulentos que passam por mensagens de voz e conseguem burlar a autenticação multifator em tempo real. Pesquisadores da ZeroBEC, em relato publicado pelo Cyber Security News nesta terça-feira (23 de junho de 2026), mostraram que o kit usa contas já comprometidas como plataforma de disparo confiável, anexa conversas antigas falsas para enganar filtros e repõe as credenciais roubadas contra a infraestrutura de identidade da Microsoft — adaptando a página falsa ao tipo exato de conta de cada vítima.
Pontos-chave do ataque
- O que é: kit de phishing CodeStorm (AiTM — adversário no meio) focado no Microsoft 365.
- Novidade: repõe credenciais ao vivo contra a Microsoft e dribla a autenticação multifator.
- Estratégia: usa contas M365 legítimas já invadidas para enviar a isca, passando por SPF, DKIM e DMARC.
- Isca: e-mail falso de correio de voz com botão “OPEN VOICEMAIL PORTAL” da Microsoft.
- Risco: empresas brasileiras usam massivamente o Microsoft 365 no dia a dia corporativo.
O golpe das contas confiáveis
A sacada mais perigosa do CodeStorm não é a página falsa, mas de onde o e-mail parte. Em vez de montar servidores de envio duvidosos, os atacantes sequestram contas reais do Microsoft 365 e usam essas identidades ativas como rampa de lançamento. Como o remetente é uma conta corporativa legítima, a mensagem passa pelas verificações de autenticidade SPF, DKIM e DMARC — os mesmos filtros que deveriam barrar fraudes — e chega direto à caixa de entrada da vítima, segundo o Cyber Security News.
O truque funciona porque a maioria das ferramentas antiphishing confia no remetente autenticado. Quando o e-mail vem de um fornecedor ou parceiro com quem a empresa já trocou mensagens antes, a desconfiança natural desaparece. A análise da ZeroBEC constatou que o grupo reutiliza a mesma conversa antiga irrelevante em vários alvos diferentes, trocando apenas o nome da organização — tudo o mais permanece idêntico, o que mantém a aparência de um fio de e-mail corporativo legítimo.
A isca do correio de voz
O e-mail de isca imita uma notificação genuína de caixa postal da Microsoft. Ele traz um layout bem formatado, a duração da chamada, um número de referência e um botão azul com a marca da Microsoft escrito “OPEN VOICEMAIL PORTAL”. Para um funcionário apressado no meio do expediente, a aparência é convincente. Abaixo da mensagem visível, porém, o kit adiciona um longo bloco de texto invisível (espaços em branco) seguido de uma conversa histórica de e-mail falsa.
Esse truque, chamado pelos analistas de “envelope de conversa” (conversation stuffing), tem alvo claro: os motores de varredura automatizada. O ser humano raramente rola a tela até esse conteúdo oculto, mas os gateways de segurança o leem. Ao ver uma longa cadeia de mensagens “normais”, muitos classificam o e-mail como um sequestro de fio de baixo risco, e não como uma isca de phishing direta, baixando a pontuação de detecção. O GBHackers destaca que essa manipulação é o que distingue o CodeStorm de páginas simples de roubo de senhas.
Burlando o MFA em tempo real
Aqui está o coração técnico do ataque — e a parte mais alarmante para quem confia no segundo fator. O CodeStorm é um kit AiTM (adversário no meio): ele intercepta a credencial e a repassa para a Microsoft no instante em que a vítima a digita, simulando um login legítimo. O controlador de backend, escondido sob o caminho estável /google.php, obedece a um contrato de ações enxuto:
| Ação | Função no ataque |
|---|---|
do=check |
Descoberta de identidade e realm da conta |
do=login |
Envio e reposição ao vivo da senha |
do=verify |
Disparo do fluxo de autenticação multifator |
checkVerify |
Repassa o código de MFA digitado pela vítima |
O kit suporta praticamente todo método de MFA: notificação push do Authenticator, código OTP por SMS, chamada de voz e até códigos de recuperação do Hotmail. Quando a vítima preenche a senha, a ação do=login a repõe imediatamente contra a Microsoft, gerando uma falha de entrada genuína com o código de erro 50126 nos logs do Entra (antigo Azure AD) em questão de segundos. Os endereços de IP gravados pertencem à infraestrutura do kit — geralmente localizações nos Estados Unidos, como Louisiana e Texas — o que dá aos defensores uma pista geográfica anômala logo após o clique no phishing.
A engenharia anti-análise das páginas
Quem tenta investigar a página falsa encontra uma muralha. Assim que a vítima clica, cai numa página protegida pelo Cloudflare Turnstile, um desafio que filtra scanners automatizados. A página também investiga o navegador em busca de sinais de automação — detecta navigator.webdriver, ferramentas como Burp Suite e Phantom, atalhos de ferramentas de desenvolvedor (DevTools) e até mede o tempo que uma instrução debugger leva para executar. Se percebe qualquer coisa suspeita, redireciona para uma URL legítima da Microsoft e parece completamente inofensiva.
Os domínios de frontend giram constantemente entre múltiplas extensões e hosts aleatórios, mas o backend permanece estável sob /google.php. Em um dos clusters, o segundo estágio do ataque é um JavaScript ofuscado chamado bootstrappp.min.js, hospedado em armazenamento de objetos da Tencent Cloud. Essa separação entre escala (frontend que muda) e protocolo (backend fixo) dificulta o bloqueio por domínio e força os defensores a caçar pelo comportamento, não pelo endereço.
Como o kit se adapta
O detalhe mais sofisticado é a capacidade ciente do tenant (tenant-aware). A ação do=check realiza uma descoberta de realm contra a infraestrutura real de identidade da Microsoft e retorna o roteamento adequado ao tipo de conta da vítima: M365 gerenciado, tenant federado ou M365 administrado pela GoDaddy. Isso significa que a interface de phishing não é uma página genérica de login — ela se adapta à configuração de identidade real de cada alvo, aumentando drasticamente a credibilidade.
Segundo a CyberPress, a campanha combina infraestrutura de frontend rotativa com um backend estável ciente do tenant para sequestrar contas de múltiplas organizações. A HexaStrike, em análise de inteligência de ameaças, apontou ainda sobreposição entre o CodeStorm e o ator que a Microsoft rastreia como Storm-1167, além de semelhanças com kits conhecidos como Tycoon2FA — um indício de que a tecnologia por trás desses golpes está se profissionalizando e sendo reaproveitada por diferentes operadores.
Como detectar e se defender agora
A ZeroBEC listou sinais concretos que as equipes de segurança podem caçar. Ação organizada por camada:
- Camada de e-mail: procure mensagens em que os cabeçalhos From, To e Return-Path sejam idênticos, combinados com um bloco oculto de espaços que anexa um fio não relacionado.
- Camada de rede: sinalize requisições POST cruzadas para o caminho
/google.php, especialmente quando o tipo de conteúdo forapplication/x-www-form-urlencodedcom ações comodo=checkoudo=login. - No Entra: priorize falhas de entrada no OfficeHome com código de erro 50126, sobretudo agrupadas logo após um evento de clique em phishing e vindas de IPs fora da geografia esperada do usuário.
- Sinais de comprometimento: novas regras de caixa de entrada, concessões OAuth incomuns, avisos de MFA de locais desconhecidos e logins bem-sucedidos a partir de IPs que antes só geraram falhas.
- Treinamento: ensine a equipe a desconfiar de e-mails de “caixa postal” com botões de “abrir portal”, mesmo vindos de contas aparentemente confiáveis. Simular ataques com ferramentas como o GoPhish, framework de simulação de phishing, treina o olhar da equipe para reconhecer a fraude antes do clique. Verifique por canal secundário antes de clicar.
- Chaves de acesso e MFA por número: prefira autenticação por chave de segurança (FIDO2) ou número correspondente, mais resistentes à interceptação em tempo real do que o simples push.
O CodeStorm ilustra uma virada perigosa no phishing corporativo: o atacante não mais precisa forjar infraestrutura — basta sequestrar uma conta confiável e deixar os filtros legítimos trabalharem a seu favor. Para empresas brasileiras, onde o Microsoft 365 move e-mails, documentos e reuniões diariamente, a mensagem é clara: a confiança no remetente deixou de ser prova de segurança. Treine sua equipe, monitore os sinais nos logs do Entra e nunca confie em uma “mensagem de voz” que pede um clique.
Leia também
- 16 bilhões de senhas expostos: entenda o vazamento — por que credenciais roubadas continuam alimentando ataques como o CodeStorm.
- WhatsApp: documentos falsos roubam controle de PCs — outra face da engenharia social que mira o funcionário distraído.
Referências
- Cyber Security News — Hackers Abuse Compromised M365 Accounts to Scale CodeStorm Phishing (Tushar Subhra Dutta, 23 jun. 2026)
- GBHackers — CodeStorm Phishing Campaign Targets M365 Tenants With Token Reuse and Replay (Mayura Kathir, 23 jun. 2026)
- CyberPress — CodeStorm Phishing Kit Uses Tenant-Aware M365 Replay to Hijack Accounts
- HexaStrike — CodeStorm: A Microsoft 365 AiTM Phishing Kit with Storm-1167 Overlap