Uma nova variante de ataque, batizada de ConsentFix v3, está sendo promovida em fóruns de hackers como uma técnica aprimorada que automatiza ataques contra o Microsoft Azure, dispensando senhas e contornando até a autenticação multifator (MFA).
Evolução da técnica de abuso OAuth
A primeira versão do ConsentFix foi apresentada pela Push Security em dezembro de 2025. Segundo a empresa, tratava-se de uma variação do ClickFix para ataques de phishing OAuth, que engana as vítimas para que concluam um fluxo de login legítimo da Microsoft via Azure CLI. A versão v2, desenvolvida pelo pesquisador John Hammond, substituiu a cópia/cola manual por arrastar e soltar. O ConsentFix v3, de acordo com informações obtidas em fóruns de hackers, preserva a ideia central de abusar do fluxo de código de autorização OAuth2 e direcionar aplicativos de primeira parte da Microsoft, que são pré-confiantes e pré-consentidos, mas adiciona automação e escalabilidade.
Fluxo de ataque automatizado
Sobre o funcionamento da nova técnica, a Push Security explicou em seu artigo que o ataque começa verificando a presença do Azure no ambiente-alvo por meio de IDs de inquilino válidos. Em seguida, os agressores coletam detalhes de funcionários (nomes, cargos e e-mails) para apoiar a personificação. Conforme detalhou a Push Security, os invasores criam múltiplas contas em serviços como Outlook, Tutanota, Cloudflare, DocSend, Hunter.io e Pipedream para dar suporte às operações de phishing, hospedagem, coleta e exfiltração de dados.
A plataforma Pipedream, segundo os pesquisadores da Push Security, desempenha papel central na automação. Ela atua como endpoint de webhook que recebe o código de autorização da vítima, como mecanismo de automação que troca imediatamente esse código por um token de atualização via API da Microsoft e como coletor central que disponibiliza os tokens capturados em tempo real.
Fase de phishing e pós-exploração
Na próxima fase, o invasor implanta uma página de phishing hospedada no Cloudflare Pages. De acordo com o relatório da Push Security, a página imita uma interface legítima da Microsoft/Azure e inicia um fluxo OAuth real por meio do endpoint de login da Microsoft. Quando a vítima interage com a página, é redirecionada para uma URL localhost contendo um código de autorização OAuth, que é enganada para colar ou arrastar de volta para a página de phishing. Isso ativa o pipeline de exfiltração, no qual a página envia a URL capturada para um webhook do Pipedream, e a automação de backend troca imediatamente o código por tokens.
Os e-mails de phishing, segundo a Push Security, podem ser altamente personalizados, gerados a partir de dados colhidos, e apresentam links maliciosos incorporados em um PDF hospedado no DocSend para melhorar a credibilidade e driblar a filtragem de spam. No estágio de pós-exploração, os tokens obtidos são importados para o Specter Portal. Conforme a empresa, isso permite que o invasor interaja com ambientes Microsoft comprometidos e acesse recursos permitidos pelo token, como e-mail, arquivos e outros serviços vinculados à conta.
Riscos e recomendações para CISOs
Embora a Push Security tenha testado o ConsentFix v3 com suas contas pessoais da Microsoft, a empresa afirmou que o impacto real depende de permissões, serviços e configurações do inquilino, entre outros fatores. A empresa destacou que a mitigação é complicada porque a confiança em aplicativos de primeira parte é arquitetural. No entanto, a Push Security recomenda que administradores adotem medidas como aplicar vinculação de token (token binding) a dispositivos confiáveis, configurar regras de detecção comportamental e impor restrições de autenticação de aplicativos. A empresa ainda informa que, embora ataques ConsentFix sejam usados em campanhas reais, não está claro se a variante v3 já ganhou tração entre cibercriminosos.
