Cibercriminosos estão abusando do processo de cadastro de passkeys no Microsoft Entra para assumir contas corporativas. A campanha combina ligações fraudulentas com páginas falsas que imitam o fluxo legítimo da Microsoft. O ataque foi associado ao grupo UNC066, também chamado de Pink.
Os operadores telefonam para funcionários e se passam por equipes de suporte ou tecnologia, usando pressão e instruções convincentes para conduzir a vítima até o site fraudulento. Na página falsa, o usuário acredita estar configurando uma nova forma segura de acesso.
Enquanto ele segue as instruções, o criminoso inicia o cadastro de uma passkey própria na conta corporativa da vítima. Durante o processo, códigos exibidos no ambiente real da Microsoft são solicitados pelo falso atendente e inseridos pelo funcionário na página maliciosa. Isso permite que o invasor conclua o registro de seu próprio dispositivo.
Depois que a passkey controlada pelo atacante é adicionada, ela pode ser usada para entrar na conta sem depender novamente da senha ou de códigos temporários da vítima.
Com a conta comprometida, os invasores podem acessar e-mails, arquivos, aplicativos corporativos e outros serviços conectados ao Microsoft Entra. O alcance depende das permissões atribuídas ao funcionário enganado.



