Golpistas usam o Envio Direto do Microsoft 365 para falsificar e-mails direcionados a empresas dos EUA

Golpistas estão explorando o Envio Direto do Microsoft 365 para falsificar e-mails internos direcionados a empresas dos EUA, contornando filtros de segurança com ataques de phishing usando mensagens de voz e códigos QR falsos.

Pesquisadores de segurança cibernética do Varonis Threat Labs expuseram uma nova e sofisticada campanha de phishing que explora um recurso pouco conhecido do Microsoft 365 para enviar e-mails maliciosos.

Este ataque, que começou em maio de 2025 e tem sido consistentemente ativo, já teve como alvo mais de 70 organizações, com uma maioria significativa, 95%, sendo organizações sediadas nos EUA.

O aspecto único desta campanha é sua capacidade de "enganar usuários internos sem nunca precisar comprometer uma conta", tornando-a particularmente difícil de ser detectada por sistemas tradicionais de segurança de e-mail, observaram os pesquisadores na postagem do blog compartilhada com o Hackread.com.

A campanha utiliza o recurso de Envio Direto do Microsoft 365, projetado para dispositivos internos, como impressoras, para enviar e-mails sem exigir autenticação do usuário. Segundo a Varonis, os invasores estão se aproveitando desse recurso.

Tom Barnea, do Varonis Threat Labs, destacou no relatório que esse método funciona porque "nenhum login ou credenciais são necessários". Os agentes de ameaças precisam apenas de alguns detalhes disponíveis publicamente, como o domínio da empresa e os formatos de endereço de e-mail interno, que geralmente são fáceis de adivinhar.

Ao usar o Envio Direto, criminosos podem criar e-mails que parecem se originar de dentro de uma organização, mesmo sendo enviados de uma fonte externa. Isso permite que as mensagens maliciosas contornem as verificações comuns de segurança de e-mail, já que muitas vezes são tratadas pelos filtros da própria Microsoft e por soluções de terceiros como comunicações internas legítimas.

Além disso, a Varonis observou que esses e-mails falsos frequentemente imitam notificações de correio de voz, contendo um anexo em PDF com um código QR. A leitura desse código QR direciona as vítimas para uma página de login falsa do Microsoft 365, projetada para roubar credenciais.

As organizações precisam estar atentas para detectar essa nova forma de ataque. A Varonis recomenda verificar os cabeçalhos das mensagens de e-mail em busca de sinais como endereços IP externos enviados para um "host inteligente" do Microsoft 365 (por exemplo, tenantname.mail.protection.outlook.com) ou falhas em verificações de autenticação como SPF, DKIM ou DMARC para domínios internos. Pistas comportamentais, como e-mails enviados por usuários para si mesmos ou mensagens originadas de localizações geográficas incomuns sem nenhuma atividade de login correspondente, também são fortes indicadores.

Para evitar ser vítima, a Varonis recomenda habilitar a configuração "Rejeitar Envio Direto" no Centro de Administração do Exchange e implementar uma política DMARC rigorosa. A educação do usuário é fundamental, principalmente alertando a equipe sobre os perigos de anexos de código QR em ataques de Quishing ( QR Phishing ).

Por fim, impor a Autenticação Multifator (MFA) para todos os usuários e ter Políticas de Acesso Condicional em vigor pode proteger contas mesmo se as credenciais forem roubadas por meio dessas tentativas sofisticadas de phishing.