A Okta Threat Intelligence publicou em 6 de julho de 2026 uma pesquisa sobre um agente de ameaça que rastreia como O-UNC-066, e a campanha se destaca pelo que ela deixa de fora, não pelo que inclui. Não há e-mail de phishing, nenhum domínio falsificado e nenhum anexo malicioso em nenhum ponto da cadeia de ataque inicial. Em vez disso, a operação acontece inteiramente por telefone, convencendo funcionários a registrar uma chave de acesso que pertence ao atacante, não a eles. Quando a conta é comprometida, o atacante já está operando dentro de uma sessão do Microsoft 365 totalmente autenticada, e toda a infraestrutura de e-mail que depende dessa sessão, incluindo o DMARC, não tem nada de incomum para sinalizar.
Como Funciona o Ataque de Vishing
A Palo Alto Networks Unit 42 rastreia o mesmo grupo de atividade como CL-CRI-1147 e o descreve como afiliado ao The Com, o coletivo de cibercrime difuso em cuja órbita também estão Scattered Spider, ShinyHunters e LAPSUS$. Desde abril de 2026, o O-UNC-066 tem registrado domínios que incorporam a palavra “passkey” no nome, e depois ligado diretamente para funcionários-alvo, se passando por equipe de TI ou de segurança e dizendo que é necessário registrar uma nova chave de acesso na conta por motivos de segurança. A vítima é conduzida, em tempo real, por um kit de phishing que imita fielmente o fluxo real de registro de chaves de acesso do Microsoft Entra. Como o kit é controlado por um operador em vez de totalmente automatizado, o atacante na ligação se adapta em tempo real ao método de MFA que a conta da vítima realmente usa, conduzindo a conversa até que a vítima aprove o que acredita ser uma atualização de segurança de rotina. O que ela está realmente aprovando é que o próprio dispositivo do atacante seja registrado como autenticador confiável em sua conta.
Quem Está Sendo Alvo
A Okta observou o O-UNC-066 mirando organizações empresariais nos setores de alimentos e bebidas, tecnologia, saúde, automotivo, construção e aviação. O agente de ameaça não é crime oportunista de massa; é uma segmentação deliberada e distribuída entre setores, consistente com um grupo que fez sua lição de casa sobre quais organizações valem o tempo que uma ligação telefônica ao vivo exige. Em 31 de maio de 2026, o grupo colocou no ar um site de vazamento de dados com o nome Pink, revelando seu verdadeiro objetivo: trata-se de uma operação de extorsão. Uma vez dentro de um tenant do Microsoft 365, o Pink age rapidamente para extrair dados do SharePoint e do OneDrive, e depois usa o site de vazamento para pressionar as vítimas a pagar em vez de ter esses dados publicados.
Por Que o DMARC Nunca Vê Isso
Vale a pena ser preciso sobre por que essa campanha fica completamente fora do que o DMARC, o SPF e o DKIM foram criados para verificar. Esses três protocolos existem para responder a uma única pergunta: um e-mail que afirma vir de determinado domínio realmente se originou em infraestrutura que o dono desse domínio autorizou? Uma ligação de vishing não é um e-mail. Ela nunca passa pelo SMTP, nunca carrega um cabeçalho From, e nunca gera um único sinal relevante para o DMARC, porque todo o ataque, do primeiro toque do telefone até a aprovação da chave de acesso, acontece em uma rede telefônica sobre a qual a autenticação de e-mail não tem nenhuma visibilidade.
O que deveria preocupar mais os defensores é o que acontece depois que a ligação termina. Uma vez que o dispositivo do atacante é registrado como autenticador legítimo, ele não está falsificando a identidade da vítima de fora; ele é a identidade da vítima, no que diz respeito ao Microsoft 365, ao Entra e a qualquer serviço dependente. Se esse atacante decidir enviar e-mails a partir da caixa de entrada comprometida, sejam solicitações internas no estilo BEC ou mensagens para parceiros externos, esse e-mail carregará uma assinatura DKIM real e válida, se originará da própria infraestrutura de envio autorizada da Microsoft, e passará limpamente pelo alinhamento DMARC em qualquer destinatário que o verifique. A invasão de conta aconteceu totalmente fora do campo de visão do DMARC, e a fraude que pode se seguir é projetada para passar por todas as verificações que o DMARC realiza.
O Que os Defensores Devem Fazer
Tratar solicitações de registro de chave de acesso ou MFA como uma ação privilegiada, não rotineira. Qualquer solicitação para registrar um novo autenticador, feita por telefone, deve ser verificada por meio de uma ligação de retorno para um número interno conhecido ou um chamado no sistema de TI já existente, nunca confiando em quem está ligando naquele momento.
Treinar funcionários especificamente sobre vishing, separadamente do treinamento sobre phishing por e-mail. A maioria dos programas de conscientização de segurança é construída quase inteiramente em torno de identificar e-mails e links suspeitos. Uma pessoa que liga, soa calma, faz referência a terminologia interna real e apresenta o pedido como higiene de segurança padrão, é uma habilidade diferente de se defender, e precisa de sua própria trilha de treinamento.
Monitorar novos registros de autenticadores como um sinal de detecção, não apenas como um evento de provisionamento. Uma chave de acesso ou método de MFA adicionado fora de uma janela conhecida de integração ou troca de dispositivo, especialmente um adicionado pouco antes de atividade incomum no SharePoint ou OneDrive, é exatamente o padrão que essa campanha produz.
Manter a aplicação do DMARC de qualquer forma. Bloquear seus domínios em p=reject não faz nada para impedir uma invasão de conta baseada em vishing, mas continua fechando a porta separada e mais simples de alguém falsificar seu domínio diretamente de fora. Os dois controles protegem contra modos de falha diferentes, e nenhum substitui o outro.
A Conclusão
O O-UNC-066 é um lembrete de que a conta por trás da sua política DMARC só é tão confiável quanto o processo usado para se autenticar nela. O DMARC protege a alegação de que uma mensagem veio da infraestrutura autorizada do seu domínio. Ele não diz nada sobre quem está por trás dessa infraestrutura depois de conseguir passar pelo seu MFA falando ao telefone. À medida que os atacantes continuam encontrando canais, como uma ligação telefônica, que nunca geram um e-mail em primeiro lugar, a própria conta se torna o que vale a pena vigiar, não apenas o e-mail que ela eventualmente envia.
A Excello Mail oferece visibilidade contínua sobre seus relatórios agregados de DMARC e suas fontes de envio autorizadas, para que uma conta comprometida enviando e-mails inesperados pela sua própria infraestrutura seja mais fácil de detectar. Cadastre-se gratuitamente na Excello Mail para manter essa visibilidade enquanto sua equipe restringe a forma como o MFA e as chaves de acesso são registrados.