Roubo de e-mails e tokens do Microsoft 365

A nova investida do ToddyCat: roubo de e-mails e tokens do Microsoft 365

Recentemente, pesquisadores de segurança identificaram que o grupo de ameaças ToddyCat ampliou e refinou seu arsenal, adotando técnicas sofisticadas para comprometer e exfiltrar dados de e-mails corporativos e tokens de acesso gerados por Microsoft 365. Essa evolução no modus operandi representa um sério risco para ambientes corporativos, por combinar persistência, furtividade e métodos de exfiltração que ultrapassam barreiras tradicionais de segurança.

O uso de ferramentas customizadas como TCSectorCopy demonstra o grau de sofisticação: esse utilitário copia arquivos OST (offline storage) do cliente Microsoft Outlook, mesmo com o aplicativo aberto, lendo o disco como dispositivo de armazenamento bruto — o que contorna mecanismos de proteção dos próprios programas. 

Além disso, o ToddyCat tem empregado estratégias para capturar tokens de autorização OAuth 2.0 usados para acesso ao Microsoft 365 — tais tokens, quando obtidos, permitem que invasores acessem contas de e-mail e recursos cloud fora do perímetro da empresa comprometida. 

Outras ferramentas previamente atribuídas ao grupo, como TomBerBil — utilizado para roubar credenciais e históricos de navegador — continuam a integrar a cadeia de ataque, servindo para coletar informações de autenticação a partir de sessões de usuários e possibilitar movimentações laterais ou persistência no ambiente alvo. 

Técnicas empregadas pela ofensiva: uma análise técnica

Exfiltração de emails via OST com TCSectorCopy

• O TCSectorCopy tem a funcionalidade de ler diretamente o dispositivo de armazenamento como “raw disk” e copiar os arquivos OST, que armazenam e-mails offline, anexos, pastas e metadados. Essa abordagem ignora restrições de arquivo em uso imposta pelo Outlook, permitindo extrair dados mesmo quando a aplicação está ativa. 

• Uma vez copiados, os arquivos OST são analisados com ferramentas como XstReader — um visualizador de OST/PST — para extrair o conteúdo das mensagens, anexos e históricos, entregando ao atacante acesso completo às comunicações corporativas. 

Roubo de tokens OAuth / credenciais de cloud

• Com o uso de ferramentas como SharpTokenFinder, o grupo busca por tokens em memória associados a aplicações Microsoft 365, capturando JSON Web Tokens (JWT) que podem ser reutilizados fora do ambiente comprometido, sem necessidade de recadastrar senhas ou passar por autenticação adicional. 

• Quando ferramentas de segurança bloqueiam tentativas de extração direta de tokens, os atacantes recorrem a dumps de memória com utilitários como ProcDump (da coleção Sysinternals), extraindo o conteúdo da memória do processo Outlook para posterior análise offline — metodologia que dificulta a detecção em tempo real. 

Roubo de credenciais e dados via histórico de navegador

• Com o TomBerBil, o grupo busca credenciais, cookies, histórico e dados armazenados em navegadores populares (como Chrome, Edge, potencialmente outros). Em versões recentes, a variante em PowerShell permite execução remota e uso de recursos SMB para copiar dados de máquinas com privilégios de rede (como controladores de domínio). 

• O uso de DPAPI (Data Protection API) do Windows — que cifra credenciais e dados sensíveis — não impede o ataque: os atores são capazes de extrair a chave mestra de criptografia junto com SID e senha do usuário atual, permitindo a descriptografia local dos dados roubados. 

Impactos potenciais nas organizações — por que é crítico dar atenção

Exposição de comunicações confidenciais e propriedade intelectual

Com a exfiltração de e-mails e documentos corporativos — inclusive históricos offline — empresas correm risco de espionagem, vazamento de dados sensíveis ou confidenciais, perda de propriedade intelectual, informações estratégicas internas e dados regulados (clientes, finanças, contratos). Uma brecha nesse segmento pode trazer consequências jurídicas, reputacionais e de compliance.

Comprometimento de identidades e acesso persistente à infraestrutura cloud

O roubo de tokens OAuth 2.0 do Microsoft 365 permite aos atacantes acesso direto aos serviços cloud da empresa — sem necessidade de recapturar senhas. Isso significa que mesmo depois de uma limpeza superficial (remoção de malware, mudança de senhas), invasores podem manter acesso furtivo, difícil de detectar, e reutilizar tokens para movimentação lateral, extração de dados adicionais ou instalação de malware extra.

Dificuldade de detecção e resposta — persistência e stealth

As técnicas de TCSectorCopy, ProcDump e dump de memória não acionam necessariamente alertas de antivírus ou EDR tradicionais: o disco é lido como raw, processos legítimos são usados, e não há necessariamente um comportamento “suspeito” evidente. Isso torna a detecção defensiva mais complexa, exigindo monitoramento ativo, análise de logs, rastreamento de tokens e auditoria de comportamentos — não apenas assinatura convencional.

Recomendações de mitigação para ambientes corporativos

Para reduzir o risco desse tipo de ataque, é fundamental adotar uma abordagem multicamadas de segurança:

• Políticas de gerenciamento de credenciais e tokens: implantar rotação periódica de tokens, uso de autenticação multifator (MFA), e monitorar anomalias de uso fora de horários padrão ou de localidades suspeitas.

• Controle estrito de acesso a ferramentas administrativas e de dump de memória: restringir a execução de utilitários como ProcDump, xCopy, ferramentas não padronizadas e scripts PowerShell em máquinas críticas, especialmente servidores e estações com privilégios elevados.

• Monitoramento de integridade de dados e auditoria de logs: configurar alertas para atividades incomuns de leitura de disco em baixo nível, cópia de arquivos OST, uso de ferramentas de dump, volumes altos de saída de dados, além de rever logs de acesso ao Microsoft 365.

• Educação e políticas de segurança para usuários: desestimular o armazenamento de senhas em navegadores, e promover boas práticas de uso, além de conscientização sobre phishing, engenharia social e riscos de ferramentas de terceiros.

• Segmentação de rede e “quarantine” de máquinas sensíveis: manter servidores críticos e máquinas de administrador em ambientes isolados, com acesso limitado, e monitoramento reforçado de tráfego de saída.

Lições a partir da campanha ToddyCat — para a postura de segurança

O caso ToddyCat evidencia que ambientes corporativos modernos não estão mais apenas vulneráveis a ransomware ou vulnerabilidades tradicionais: o alvo agora inclui identidade, credenciais, tokens e comunicação interna. Ferramentas de exfiltração sofisticadas, combinadas a técnicas de persistência e stealth, elevam o risco de espionagem e invasões prolongadas.

Além disso, demonstra que a segurança deve ultrapassar o perímetro da rede e a proteção de endpoints — deve abranger monitoramento de identidade, auditoria de uso de tokens, restrição de ferramentas administrativas e governança de credenciais.

Finalmente, revela que a ofensiva evoluiu para atacar a infraestrutura de colaboração e comunicação (e-mail, cloud), o que amplifica as consequências e dificulta a remediação — sendo essencial tratar com prioridade, tanto técnica quanto organizacional.

Conclusão

A nova ofensiva do ToddyCat contra corporações, com foco em roubo de e-mails e tokens do Microsoft 365, representa uma ameaça complexa e silenciosa — longe dos cenários tradicionais de ransomware ou ataques massivos, mas com impacto potencial devastador para confidencialidade, propriedade intelectual e continuidade de negócios.

Por se utilizar de ferramentas sofisticadas e técnicas de exfiltração furtiva (via cópia de discos, dump de memória, token stealing), o grupo demonstra que quem busca acesso corporativo sabe operar com paciência, customização e foco em persistência.

Portanto, organizações precisam adotar uma postura de segurança avançada: não basta proteger endpoints ou instalar antivírus — é necessário implementar governança de identidade, restrições a ferramentas administrativas, auditoria contínua, controle de uso de tokens, e monitoramento de acesso e tráfego.

Só com uma abordagem proativa e holística será possível reduzir drasticamente os riscos representados por atores como o ToddyCat, preservando a segurança de dados, comunicações e infraestrutura crítica.

Referências Bibliográficas

• The Hacker News — “ToddyCat’s New Hacking Tools Steal Outlook Emails and Microsoft 365 Access Tokens”, 2025. Disponível em: https://thehackernews.com/2025/11/toddycats-new-hacking-tools-steal.html

• DarkReading — “ToddyCat APT Is Stealing Data on ‘Industrial Scale’”. Disponível em: https://www.darkreading.com/cyber-risk/-toddycat-apt-is-stealing-data-on-an-industrial-scale