Como o golpe funciona
O grupo de extorsão Pink, rastreado como CL-CRI-1147 e ligado à rede de crime The Com, usa golpes de voz (vishing) para roubar credenciais do Microsoft 365 e sequestrar arquivos corporativos no SharePoint e OneDrive. Lançado em 31 de maio de 2026, o site de vazamentos do grupo já lista vítimas. Ameaças são feitas em 72 horas.
A cadeia de ataque começa com ligações telefônicas em que os criminosos se passam por funcionários do suporte de TI interno da empresa — tática de vishing já usada em ataques de grande escala. Eles orientam a vítima a acessar domínios controlados pelos atacantes, como passkeyadd.com e passkeydeploy.com, onde credenciais são capturadas. Ao inserir seus dados, o empregado entrega sua sessão ativa de login, o que permite ao grupo bypassar a autenticação multifator (MFA) sem precisar contornar o mecanismo diretamente.
Com acesso ao Microsoft 365 comprometido, os atacantes utilizam as próprias ferramentas automatizadas da Microsoft para varrer o SharePoint, OneDrive e Teams, exfiltrando arquivos sensíveis em questão de minutos — mais um caso que confirma por que o roubo de sessão tornou o MFA insuficiente sozinho. A operação não emprega malware tradicional — o roubo é feito inteiramente através de sessões legítimas.
Táticas de evasão do grupo
Análise da Gurucul publicada em 4 de junho de 2026 revelou que o Pink emprega técnicas fileless para evitar detecção. Em vez de baixar executáveis no disco, o grupo implanta pequenos comandos de código que operam dentro de caminhos legítimos do sistema. O código principal é montado diretamente na memória cache temporária do computador, tornando-se invisível para scanners de pasta de antivírus convencionais.
Os scripts incluem verificações de ambiente: se detectam sandboxes ou laboratórios de análise usados por equipes de segurança, o comportamento malicioso é suprimido automaticamente. Essa capacidade anti-análise dificulta a investigação forense e a identificação de artefatos nos endpoints comprometidos.
Para a extorsão, o grupo envia mensagens diretamente pelo Microsoft Teams e por e-mail usando a conta comprometida do funcionário, contatando colegas e executivos com exigência de pagamento em até 72 horas. O uso de canais internos legítimos aumenta a credibilidade da ameaça e dificulta a detecção por filtros de segurança perimetrais.
Como bloquear o ataque
| Etapa do ataque | Contramedida recomendada |
|---|---|
| Vishing — ligação falsa de suporte de TI | Treinar funcionários para verificar ligações inesperadas de TI de forma independente |
| Phishing de credenciais em domínios falsos | Bloquear passkeyadd.com e passkeydeploy.com nos filtros DNS e proxy corporativo |
| Roubo de sessão bypassando MFA | Exigir autenticação por certificado ou chave FIDO2, que protege contra sequestro de sessão |
| Exfiltração rápida do SharePoint e OneDrive | Monitoramento comportamental para downloads massivos e repentinos |
| Extorsão via Teams e e-mail internos | Alertas para sessões do M365 originadas de localizações ou dispositivos incomuns |
A detecção do Pink é particularmente desafiadora porque o grupo opera inteiramente dentro de ferramentas legítimas do ecossistema Microsoft. Firewalls convencionais e filtros de perímetro não identificam o tráfego como malicioso, já que tudo ocorre dentro de sessões autenticadas. Por isso, a defesa eficaz depende de monitoramento comportamental — identificar anomalias como volumes atípicos de download, sessões simultâneas de localizações distantes e uso incomum de ferramentas de automação do Microsoft 365.