Hackers Exploram Recurso do Microsoft 365 Para Enviar E-mails de Phishing

A equipe forense de Detecção e Resposta a Dados Gerenciados da Varonis (MDDR) descobriu uma sofisticada campanha de phishing que usa o recurso “Direct Send” da Microsoft para falsificar usuários internos e entregar e-mails de phishing sem nunca precisar comprometer uma conta.

De acordo com pesquisadores da Varonis, essa campanha, que está ativa desde maio de 2025, visou mais de 70 organizações—principalmente nos Estados Unidos—abusando de uma função destinada a ajudar dispositivos como impressoras a enviar e-mails sem autenticação. Essa função agora está sendo manipulada por agentes de ameaça para enviar e-mails enganosos que parecem vir de dentro de uma organização, tudo sem violar uma única conta.

“A simplicidade desse ataque é o que o torna tão perigoso”, disse Michael Solomon, que liderou a análise forense na Varonis. “Você não precisa de credenciais, malware ou mesmo acesso ao ambiente alvo. Tudo que você precisa é de um IP público e um script básico do PowerShell.”

Como O Ataque Funciona

Direct Send é um recurso no Microsoft Exchange Online que permite que dispositivos e aplicativos enviem e-mails dentro de um locatário do Microsoft 365 sem autenticação usando um host inteligente (por exemplo, tenantname.mail.protection.outlook.com). Foi projetado para uso interno e não requer credenciais de login.

Isso cria uma oportunidade para os atacantes: se eles puderem identificar o domínio do locatário e adivinhar um endereço de e-mail válido (um formato comum como [email protected]), eles podem enviar e-mails falsificados que parecem se originar de dentro da organização, sem nunca fazer login ou tocar no locatário.

Como essas mensagens falsificadas são roteadas pela infraestrutura da Microsoft, elas frequentemente contornam filtros de e-mail que dependem da autenticação do remetente, reputação ou pistas de roteamento externas. Como resultado, os e-mails parecem ser mensagens internas legítimas.

PowerShell Facilita

Para lançar os ataques, os hackers usaram scripts simples do PowerShell para enviar e-mails falsificados via Direct Send. Essas mensagens imitam alertas internos legítimos, muitas vezes com assuntos como “ Novo Fax-msg Perdido ” ou “ Chamador Deixou Mensagem de VM.” Os e-mails normalmente continham anexos em PDF disfarçados como mensagens de voz. Esses PDFs incluem códigos QR que redirecionam os usuários para sites de coleta de credenciais.

A equipe forense MDDR da Varonis vinculou várias instâncias com base em semelhanças nos endereços IP dos remetentes, conteúdo das mensagens e comportamento. Um exemplo do mundo real envolveu atividade de e-mail originada de um endereço IP ucraniano sem nenhuma tentativa de login—um padrão incomum que apontava para abuso do Direct Send.

Por Que Esses E-mails Evitam Detecção

Vários fatores permitem que essas mensagens evitem ferramentas de segurança tradicionais:

• Nenhuma autenticação é necessária para enviar via Direct Send.
• Os e-mails parecem se originar de dentro da organização.
• Eles falham nas verificações SPF, DKIM e DMARC, mas ainda podem ser entregues.
• A filtragem da Microsoft pode tratar esses como mensagens internas.

Detectar esses ataques envolve inspecionar de perto os cabeçalhos de e-mail em busca de sinais incomuns, como IPs externos interagindo com o host inteligente e falhas nas verificações de autenticação. Outros sinais de alerta comportamentais incluem e-mails enviados de seus próprios endereços, mensagens enviadas usando PowerShell e atividade de e-mail originada de locais inesperados ou estrangeiros.

Medidas Protetivas

Para defender e proteger contra essa ameaça, a Varonis recomenda que as organizações tomem as seguintes medidas:

• Ativar “Rejeitar Direct Send” no Centro de Administração do Exchange.
• Implementar uma política DMARC rigorosa (por exemplo, p=reject).
• Marcar ou colocar em quarentena mensagens internas não autenticadas.
• Aplicar configurações de “SPF hardfail” dentro da Proteção do Exchange Online (EOP).
• Usar políticas anti-falsificação.
• Educar os funcionários sobre phishing e ataques baseados em códigos QR (também conhecidos como “quishing”).
• Monitorar comportamentos incomuns de envio de e-mails, como mensagens autoendereçadas e uso inesperado de IP.
• Aplicar um endereço IP estático no registro SPF para evitar abusos indesejados de envio — uma prática recomendada, embora opcional, da Microsoft.

“O Direct Send é um recurso poderoso, mas nas mãos erradas, torna-se um vetor de ataque perigoso. Se você não está monitorando ativamente e-mails internos falsificados ou não ativou essas proteções, agora é a hora. Não assuma que interno significa seguro,” concluiu a Varonis.