Resumo
Pesquisadores da Unit 42, da Palo Alto Networks, identificaram uma nova campanha de phishing Browser-in-the-Browser que utiliza janelas popup falsas para roubar credenciais do Microsoft 365. O ataque, revelado em junho de 2026, cria janelas arrastáveis que imitam perfeitamente o login OAuth da Microsoft, adaptando-se ao sistema operacional e navegador da vítima.
A técnica, chamada BitB (Browser-in-the-Browser), renderinga uma janela de navegador inteira dentro de uma página maliciosa usando HTML, CSS e JavaScript. A janela falsa inclui barra de endereço com URL spoofada, ícone de cadeado e botões de navegação — tornando a detecção pelo usuário extremamente difícil. Pesquisas recentes mostram que 20% dos ataques de phishing no navegador não são detectados por ferramentas de segurança tradicionais.
Como o ataque funciona
A vítima acessa uma página que parece exigir login com a conta Microsoft. Ao clicar em “Sign in with Microsoft”, um popup é renderizado inteiramente dentro da aba do navegador, como um elemento DOM, e não como uma janela independente do sistema operacional. O popup exibe uma tela de login idêntica à da Microsoft, com URL OAuth falsa na barra de endereço.
A janela é arrastável, o que elimina uma das pistas visuais mais confiáveis para identificar popups falsos. Além disso, o ataque utiliza fingerprinting do sistema operacional e do navegador da vítima — ajustando a aparência para combinar com Windows, macOS ou Linux, e Chrome, Firefox, Edge ou Safari. O resultado é uma experiência visual praticamente indistinguível de um login legítimo.
| Característica | Login real | Popup BitB falso |
|---|---|---|
| Tipo de janela | Janela independente do SO | Elemento DOM na mesma aba |
| Barra de endereço | URL real do navegador | URL falsa renderizada via HTML/CSS |
| Arrastável | Sim (janela nativa) | Sim (simulado via JavaScript) |
| Adaptação visual | Padrão do navegador | Fingerprinting de OS e navegador |
| Autopreenchimento | Gerenciador de senhas funciona | Gerenciador não reconhece o domínio |
Técnicas de evasão
A campanha emprega múltiplas camadas de evasão para dificultar a detecção por ferramentas automatizadas. O código JavaScript sobrescreve funções do console do navegador, impedindo que analistas de segurança inspecionem o funcionamento da página. As strings de texto visíveis são fragmentadas para bypassar filtros baseados em palavras-chave.
Quando bots e scanners automatizados acessam a página, são redirecionados para uma página legítima de ajuda do Microsoft Office, em vez do conteúdo de phishing. A funcionalidade de roubo de credenciais é carregada através de um iframe sandboxed, mantendo-a separada da interface BitB visível e dificultando a análise forense.
A Unit 42 publicou uma lista de domínios associados à campanha, que pode ser usada para bloqueio preventivo em firewalls e filtros DNS.
Risco dos tokens OAuth
O objetivo do ataque não é apenas roubar senhas. Ao capturar o consentimento OAuth, os atacantes obtêm tokens de sessão que funcionam como cookies persistentes, permitindo acesso contínuo ao ambiente Microsoft 365, contas de e-mail e serviços conectados — mesmo após a vítima alterar a senha.
Segundo o pesquisador DLTA, que analisou a campanha, o token capturado funciona de forma similar a um SSO refresh token. Isso significa que a simples troca de senha pode não revogar o acesso do atacante. Organizações precisam monitorar sessões ativas de localizações ou dispositivos desconhecidos e revogar tokens suspeitos imediatamente.
Como se proteger
- Habilite autenticação phishing-resistant — chaves FIDO2 ou passkeys não podem ser interceptadas por popups falsos, pois a autenticação ocorre no hardware
- Observe o autopreenchimento — gerenciadores de senhas não preenchem credenciais em popups BitB porque o domínio não corresponde ao login real da Microsoft; se o gerenciador não oferecer autopreenchimento, suspeite da página
- Bloqueie domínios conhecidos — adicione a lista de domínios publicada pela Unit 42 em filtros DNS, proxies e firewalls
- Revogue tokens OAuth suspeitos — no portal de administração do Microsoft 365, monitore sessões ativas e revogue tokens de consentimento OAuth de aplicativos desconhecidos
- Configure políticas de acesso condicional — restrinja logins a dispositivos gerenciados e localizações confiáveis
- Feche a aba inteira se suspeitar de phishing — fechar apenas o popup não é suficiente, pois ele é parte da mesma aba