{"id":23574,"date":"2025-11-30T08:00:00","date_gmt":"2025-11-30T11:00:00","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=23574"},"modified":"2025-11-28T11:30:00","modified_gmt":"2025-11-28T14:30:00","slug":"roubo-de-e-mails-e-tokens-do-microsoft-365","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2025\/11\/exploits\/roubo-de-e-mails-e-tokens-do-microsoft-365\/","title":{"rendered":"Roubo de e-mails e tokens do Microsoft 365"},"content":{"rendered":"\n<p data-start=\"225\" data-end=\"300\"><strong>A nova investida do ToddyCat: roubo de e-mails e tokens do Microsoft 365<\/strong><\/p>\n<p data-start=\"302\" data-end=\"799\">Recentemente, pesquisadores de seguran\u00e7a identificaram que o grupo de amea\u00e7as ToddyCat ampliou e refinou seu arsenal, adotando t\u00e9cnicas sofisticadas para comprometer e exfiltrar dados de e-mails corporativos e tokens de acesso gerados por Microsoft 365. Essa evolu\u00e7\u00e3o no modus operandi representa um s\u00e9rio risco para ambientes corporativos, por combinar persist\u00eancia, furtividade e m\u00e9todos de exfiltra\u00e7\u00e3o que ultrapassam barreiras tradicionais de seguran\u00e7a.<\/p>\n<p data-start=\"302\" data-end=\"799\">O uso de ferramentas customizadas como TCSectorCopy demonstra o grau de sofisticac\u0327a\u0303o: esse utilit\u00e1rio copia arquivos OST (offline storage) do cliente Microsoft Outlook, mesmo com o aplicativo aberto, lendo o disco como dispositivo de armazenamento bruto \u2014 o que contorna mecanismos de prote\u00e7\u00e3o dos pr\u00f3prios programas.\u00a0<\/p>\n<p data-start=\"1162\" data-end=\"1471\">Al\u00e9m disso, o ToddyCat tem empregado estrat\u00e9gias para capturar tokens de autoriza\u00e7\u00e3o OAuth 2.0 usados para acesso ao Microsoft 365 \u2014 tais tokens, quando obtidos, permitem que invasores acessem contas de e-mail e recursos cloud fora do per\u00edmetro da empresa comprometida.\u00a0<\/p>\n<p data-start=\"1473\" data-end=\"1838\">Outras ferramentas previamente atribu\u00eddas ao grupo, como TomBerBil \u2014 utilizado para roubar credenciais e hist\u00f3ricos de navegador \u2014 continuam a integrar a cadeia de ataque, servindo para coletar informa\u00e7\u00f5es de autentica\u00e7\u00e3o a partir de sess\u00f5es de usu\u00e1rios e possibilitar movimenta\u00e7\u00f5es laterais ou persist\u00eancia no ambiente alvo.\u00a0<\/p>\n<p data-start=\"1473\" data-end=\"1838\">\u00a0<\/p>\n<p data-start=\"1845\" data-end=\"1902\"><strong>T\u00e9cnicas empregadas pela ofensiva: uma an\u00e1lise t\u00e9cnica<\/strong><\/p>\n<p data-start=\"1904\" data-end=\"1958\"><strong data-start=\"1908\" data-end=\"1958\">Exfiltra\u00e7\u00e3o de emails via OST com TCSectorCopy<\/strong><\/p>\n<ul data-start=\"1960\" data-end=\"2607\">\n<li data-start=\"1960\" data-end=\"2323\">\n<p data-start=\"1962\" data-end=\"2323\">O TCSectorCopy tem a funcionalidade de ler diretamente o dispositivo de armazenamento como \u201craw disk\u201d e copiar os arquivos OST, que armazenam e-mails offline, anexos, pastas e metadados. Essa abordagem ignora restri\u00e7\u00f5es de arquivo em uso imposta pelo Outlook, permitindo extrair dados mesmo quando a aplica\u00e7\u00e3o est\u00e1 ativa.\u00a0<\/p>\n<\/li>\n<li data-start=\"2324\" data-end=\"2607\">\n<p data-start=\"2326\" data-end=\"2607\">Uma vez copiados, os arquivos OST s\u00e3o analisados com ferramentas como XstReader \u2014 um visualizador de OST\/PST \u2014 para extrair o conte\u00fado das mensagens, anexos e hist\u00f3ricos, entregando ao atacante acesso completo \u00e0s comunica\u00e7\u00f5es corporativas.\u00a0<\/p>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p data-start=\"2609\" data-end=\"2661\"><strong data-start=\"2613\" data-end=\"2661\">Roubo de tokens OAuth \/ credenciais de cloud<\/strong><\/p>\n<ul data-start=\"2663\" data-end=\"3358\">\n<li data-start=\"2663\" data-end=\"2996\">\n<p data-start=\"2665\" data-end=\"2996\">Com o uso de ferramentas como SharpTokenFinder, o grupo busca por tokens em mem\u00f3ria associados a aplica\u00e7\u00f5es Microsoft 365, capturando JSON Web Tokens (JWT) que podem ser reutilizados fora do ambiente comprometido, sem necessidade de recadastrar senhas ou passar por autentica\u00e7\u00e3o adicional.\u00a0<\/p>\n<\/li>\n<li data-start=\"2997\" data-end=\"3358\">\n<p data-start=\"2999\" data-end=\"3358\">Quando ferramentas de seguran\u00e7a bloqueiam tentativas de extra\u00e7\u00e3o direta de tokens, os atacantes recorrem a dumps de mem\u00f3ria com utilit\u00e1rios como ProcDump (da cole\u00e7\u00e3o Sysinternals), extraindo o conte\u00fado da mem\u00f3ria do processo Outlook para posterior an\u00e1lise offline \u2014 metodologia que dificulta a detec\u00e7\u00e3o em tempo real.\u00a0<\/p>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p data-start=\"3360\" data-end=\"3423\"><strong data-start=\"3364\" data-end=\"3423\">Roubo de credenciais e dados via hist\u00f3rico de navegador<\/strong><\/p>\n<ul data-start=\"3425\" data-end=\"4115\">\n<li data-start=\"3425\" data-end=\"3799\">\n<p data-start=\"3427\" data-end=\"3799\">Com o TomBerBil, o grupo busca credenciais, cookies, hist\u00f3rico e dados armazenados em navegadores populares (como Chrome, Edge, potencialmente outros). Em vers\u00f5es recentes, a variante em PowerShell permite execu\u00e7\u00e3o remota e uso de recursos SMB para copiar dados de m\u00e1quinas com privil\u00e9gios de rede (como controladores de dom\u00ednio).\u00a0<\/p>\n<\/li>\n<li data-start=\"3800\" data-end=\"4115\">\n<p data-start=\"3802\" data-end=\"4115\">O uso de DPAPI (Data Protection API) do Windows \u2014 que cifra credenciais e dados sens\u00edveis \u2014 n\u00e3o impede o ataque: os atores s\u00e3o capazes de extrair a chave mestra de criptografia junto com SID e senha do usu\u00e1rio atual, permitindo a descriptografia local dos dados roubados.\u00a0<\/p>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p data-start=\"4122\" data-end=\"4193\"><strong>Impactos potenciais nas organiza\u00e7\u00f5es \u2014 por que \u00e9 cr\u00edtico dar aten\u00e7\u00e3o<\/strong><\/p>\n<p data-start=\"4195\" data-end=\"4268\"><strong>Exposi\u00e7\u00e3o de comunica\u00e7\u00f5es confidenciais e propriedade intelectual<\/strong><\/p>\n<p data-start=\"4270\" data-end=\"4656\">Com a exfiltra\u00e7\u00e3o de e-mails e documentos corporativos \u2014 inclusive hist\u00f3ricos offline \u2014 empresas correm risco de espionagem, vazamento de dados sens\u00edveis ou confidenciais, perda de propriedade intelectual, informa\u00e7\u00f5es estrat\u00e9gicas internas e dados regulados (clientes, finan\u00e7as, contratos). Uma brecha nesse segmento pode trazer consequ\u00eancias jur\u00eddicas, reputacionais e de compliance.<\/p>\n<p data-start=\"4270\" data-end=\"4656\"><strong data-start=\"4662\" data-end=\"4740\">Comprometimento de identidades e acesso persistente \u00e0 infraestrutura cloud<\/strong><\/p>\n<p data-start=\"4742\" data-end=\"5162\">O roubo de tokens OAuth 2.0 do Microsoft 365 permite aos atacantes acesso direto aos servi\u00e7os cloud da empresa \u2014 sem necessidade de recapturar senhas. Isso significa que mesmo depois de uma limpeza superficial (remo\u00e7\u00e3o de malware, mudan\u00e7a de senhas), invasores podem manter acesso furtivo, dif\u00edcil de detectar, e reutilizar tokens para movimenta\u00e7\u00e3o lateral, extra\u00e7\u00e3o de dados adicionais ou instala\u00e7\u00e3o de malware extra.<\/p>\n<p data-start=\"5164\" data-end=\"5231\"><strong data-start=\"5168\" data-end=\"5231\">Dificuldade de detec\u00e7\u00e3o e resposta \u2014 persist\u00eancia e stealth<\/strong><\/p>\n<p data-start=\"5233\" data-end=\"5665\">As t\u00e9cnicas de TCSectorCopy, ProcDump e dump de mem\u00f3ria n\u00e3o acionam necessariamente alertas de antiv\u00edrus ou EDR tradicionais: o disco \u00e9 lido como raw, processos leg\u00edtimos s\u00e3o usados, e n\u00e3o h\u00e1 necessariamente um comportamento \u201csuspeito\u201d evidente. Isso torna a detec\u00e7\u00e3o defensiva mais complexa, exigindo monitoramento ativo, an\u00e1lise de logs, rastreamento de tokens e auditoria de comportamentos \u2014 n\u00e3o apenas assinatura convencional.<\/p>\n<p data-start=\"5233\" data-end=\"5665\">\u00a0<\/p>\n<p data-start=\"5672\" data-end=\"5729\"><strong>Recomenda\u00e7\u00f5es de mitiga\u00e7\u00e3o para ambientes corporativos<\/strong><\/p>\n<p data-start=\"5731\" data-end=\"5835\">Para reduzir o risco desse tipo de ataque, \u00e9 fundamental adotar uma abordagem multicamadas de seguran\u00e7a:<\/p>\n<ul data-start=\"5837\" data-end=\"7066\">\n<li data-start=\"5837\" data-end=\"6055\">\n<p data-start=\"5839\" data-end=\"6055\"><strong data-start=\"5839\" data-end=\"5893\">Pol\u00edticas de gerenciamento de credenciais e tokens<\/strong>: implantar rota\u00e7\u00e3o peri\u00f3dica de tokens, uso de autentica\u00e7\u00e3o multifator (MFA), e monitorar anomalias de uso fora de hor\u00e1rios padr\u00e3o ou de localidades suspeitas.<\/p>\n<\/li>\n<li data-start=\"6056\" data-end=\"6335\">\n<p data-start=\"6058\" data-end=\"6335\"><strong data-start=\"6058\" data-end=\"6139\">Controle estrito de acesso a ferramentas administrativas e de dump de mem\u00f3ria<\/strong>: restringir a execu\u00e7\u00e3o de utilit\u00e1rios como ProcDump, xCopy, ferramentas n\u00e3o padronizadas e scripts PowerShell em m\u00e1quinas cr\u00edticas, especialmente servidores e esta\u00e7\u00f5es com privil\u00e9gios elevados.<\/p>\n<\/li>\n<li data-start=\"6336\" data-end=\"6613\">\n<p data-start=\"6338\" data-end=\"6613\"><strong data-start=\"6338\" data-end=\"6399\">Monitoramento de integridade de dados e auditoria de logs<\/strong>: configurar alertas para atividades incomuns de leitura de disco em baixo n\u00edvel, c\u00f3pia de arquivos OST, uso de ferramentas de dump, volumes altos de sa\u00edda de dados, al\u00e9m de rever logs de acesso ao Microsoft 365.<\/p>\n<\/li>\n<li data-start=\"6614\" data-end=\"6854\">\n<p data-start=\"6616\" data-end=\"6854\"><strong data-start=\"6616\" data-end=\"6667\">Educa\u00e7\u00e3o e pol\u00edticas de seguran\u00e7a para usu\u00e1rios<\/strong>: desestimular o armazenamento de senhas em navegadores, e promover boas pr\u00e1ticas de uso, al\u00e9m de conscientiza\u00e7\u00e3o sobre phishing, engenharia social e riscos de ferramentas de terceiros.<\/p>\n<\/li>\n<li data-start=\"6855\" data-end=\"7066\">\n<p data-start=\"6857\" data-end=\"7066\"><strong data-start=\"6857\" data-end=\"6917\">Segmenta\u00e7\u00e3o de rede e \u201cquarantine\u201d de m\u00e1quinas sens\u00edveis<\/strong>: manter servidores cr\u00edticos e m\u00e1quinas de administrador em ambientes isolados, com acesso limitado, e monitoramento refor\u00e7ado de tr\u00e1fego de sa\u00edda.<\/p>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p data-start=\"7073\" data-end=\"7142\"><strong>Li\u00e7\u00f5es a partir da campanha ToddyCat \u2014 para a postura de seguran\u00e7a<\/strong><\/p>\n<p data-start=\"7144\" data-end=\"7510\">O caso ToddyCat evidencia que ambientes corporativos modernos n\u00e3o est\u00e3o mais apenas vulner\u00e1veis a ransomware ou vulnerabilidades tradicionais: o alvo agora inclui <strong data-start=\"7307\" data-end=\"7364\">identidade, credenciais, tokens e comunica\u00e7\u00e3o interna<\/strong>. Ferramentas de exfiltra\u00e7\u00e3o sofisticadas, combinadas a t\u00e9cnicas de persist\u00eancia e stealth, elevam o risco de espionagem e invas\u00f5es prolongadas.<\/p>\n<p data-start=\"7512\" data-end=\"7761\">Al\u00e9m disso, demonstra que a seguran\u00e7a deve ultrapassar o per\u00edmetro da rede e a prote\u00e7\u00e3o de endpoints \u2014 deve abranger <strong data-start=\"7629\" data-end=\"7758\">monitoramento de identidade, auditoria de uso de tokens, restri\u00e7\u00e3o de ferramentas administrativas e governan\u00e7a de credenciais<\/strong>.<\/p>\n<p data-start=\"7763\" data-end=\"8021\">Finalmente, revela que <strong data-start=\"7786\" data-end=\"7941\">a ofensiva evoluiu para atacar a infraestrutura de colabora\u00e7\u00e3o e comunica\u00e7\u00e3o (e-mail, cloud), o que amplifica as consequ\u00eancias e dificulta a remedia\u00e7\u00e3o<\/strong> \u2014 sendo essencial tratar com prioridade, tanto t\u00e9cnica quanto organizacional.<\/p>\n<p data-start=\"7763\" data-end=\"8021\">\u00a0<\/p>\n<p data-start=\"8028\" data-end=\"8040\"><strong>Conclus\u00e3o<\/strong><\/p>\n<p data-start=\"8042\" data-end=\"8373\">A nova ofensiva do ToddyCat contra corpora\u00e7\u00f5es, com foco em roubo de e-mails e tokens do Microsoft 365, representa uma amea\u00e7a complexa e silenciosa \u2014 longe dos cen\u00e1rios tradicionais de ransomware ou ataques massivos, mas com impacto potencial devastador para confidencialidade, propriedade intelectual e continuidade de neg\u00f3cios.<\/p>\n<p data-start=\"8375\" data-end=\"8626\">Por se utilizar de ferramentas sofisticadas e t\u00e9cnicas de exfiltra\u00e7\u00e3o furtiva (via c\u00f3pia de discos, dump de mem\u00f3ria, token stealing), o grupo demonstra que quem busca acesso corporativo sabe operar com paci\u00eancia, customiza\u00e7\u00e3o e foco em persist\u00eancia.<\/p>\n<p data-start=\"8628\" data-end=\"8933\">Portanto, organiza\u00e7\u00f5es precisam adotar uma postura de seguran\u00e7a avan\u00e7ada: n\u00e3o basta proteger endpoints ou instalar antiv\u00edrus \u2014 \u00e9 necess\u00e1rio implementar governan\u00e7a de identidade, restri\u00e7\u00f5es a ferramentas administrativas, auditoria cont\u00ednua, controle de uso de tokens, e monitoramento de acesso e tr\u00e1fego.<\/p>\n<p data-start=\"8935\" data-end=\"9139\">S\u00f3 com uma abordagem proativa e hol\u00edstica ser\u00e1 poss\u00edvel reduzir drasticamente os riscos representados por atores como o ToddyCat, preservando a seguran\u00e7a de dados, comunica\u00e7\u00f5es e infraestrutura cr\u00edtica.<\/p>\n<p data-start=\"8935\" data-end=\"9139\">\u00a0<\/p>\n<p data-start=\"9146\" data-end=\"9160\"><strong>Refer\u00eancias Bibliogr\u00e1ficas<\/strong><\/p>\n<ul data-start=\"9162\" data-end=\"9689\">\n<li data-start=\"9162\" data-end=\"9467\">\n<p data-start=\"9164\" data-end=\"9467\"><strong>The Hacker News<\/strong> \u2014 \u201cToddyCat\u2019s New Hacking Tools Steal Outlook Emails and Microsoft 365 Access Tokens\u201d, 2025. Dispon\u00edvel em: <a href=\"https:\/\/thehackernews.com\/2025\/11\/toddycats-new-hacking-tools-steal.html\" target=\"_blank\" rel=\"noopener\">https:\/\/thehackernews.com\/2025\/11\/toddycats-new-hacking-tools-steal.html<\/a><\/p>\n<\/li>\n<li data-start=\"9468\" data-end=\"9689\">\n<p data-start=\"9470\" data-end=\"9689\"><strong>DarkReading<\/strong> \u2014 \u201cToddyCat APT Is Stealing Data on &#8216;Industrial Scale&#8217;\u201d. Dispon\u00edvel em: <a class=\"decorated-link\" href=\"https:\/\/www.darkreading.com\/cyber-risk\/-toddycat-apt-is-stealing-data-on-an-industrial-scale-?utm_source=chatgpt.com\" target=\"_blank\" rel=\"noopener\" data-start=\"9554\" data-end=\"9647\">https:\/\/www.darkreading.com\/cyber-risk\/-toddycat-apt-is-stealing-data-on-an-industrial-scale<\/a><\/p>\n<\/li>\n<\/ul>\n\n\n","protected":false},"excerpt":{"rendered":"<p>A nova investida do ToddyCat: roubo de e-mails e tokens do Microsoft 365 Recentemente, pesquisadores de seguran\u00e7a identificaram que o grupo de amea\u00e7as ToddyCat ampliou e refinou seu arsenal, adotando t\u00e9cnicas sofisticadas para comprometer e exfiltrar dados de e-mails corporativos e tokens de acesso gerados por Microsoft 365. Essa evolu\u00e7\u00e3o no modus operandi representa um [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":23584,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,21,105],"tags":[],"class_list":["post-23574","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-exploits","category-noticias"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/23574","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=23574"}],"version-history":[{"count":5,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/23574\/revisions"}],"predecessor-version":[{"id":23586,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/23574\/revisions\/23586"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/23584"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=23574"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=23574"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=23574"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}