Tycoon2FA lança quase 1 milhão de ataques direcionados a contas do Office 365 – Against Invaders

Tycoon2FA lança quase 1 milhão de ataques direcionados a contas do Office 365 - Against Invaders

Tycoon2FA, uma sofisticada plataforma de phishing como serviço rastreada pela Microsoft como Storm-1747, emergiu como a ameaça dominante visando contas do Office 365 ao longo de 2025.

A operação cibercriminosa lançou uma campanha agressiva envolvendo quase um milhão de ataques, estabelecendo-se como a plataforma de phishing mais prolífica observada por investigadores de segurança este ano.

Somente em outubro de 2025, Microsoft Defender para Office 365 bloqueou mais de 13 milhões de e-mails maliciosos conectados à infraestrutura Tycoon2FA.

Este enorme volume demonstra a escala e a persistência dos agentes de ameaças que operam esta plataforma, que fornece ferramentas de phishing prontas para uso aos cibercriminosos em todo o mundo.

Táticas falsas de CAPTCHA impulsionam o sucesso do ataque

Storm-1747 se tornou uma força significativa por trás do aumento de táticas falsas de phishing CAPTCHA.

Esses ataques disfarçam links maliciosos por trás de telas falsas de verificação de segurança que parecem legítimas para usuários desavisados.

Em outubro, a Microsoft atribuiu mais de 44% de todos os ataques de phishing controlados por CAPTCHA à infraestrutura Tycoon2FA, conforme relatado pela plataforma X da Microsoft.

Ao longo de 2025, o Tycoon2FA (rastreado pela Microsoft como Storm-1747) tem sido consistentemente a plataforma de phishing como serviço (PhaaS) mais prolífica observada pela Microsoft. Em outubro de 2025, o Microsoft Defender para Office 365 bloqueou mais de 13 milhões de e-mails maliciosos vinculados a… pic.twitter.com/Mw5JjdT5Ue

– Inteligência de ameaças da Microsoft (@MsftSecIntel) 21 de novembro de 2025

Uma campanha Tycoon2FA particularmente agressiva envolveu mais de 928.000 mensagens dirigidas a organizações em 182 países.

Os invasores usaram links enganosos “DOCUMENTE AQUI”, combinados com redirecionamentos do Google específicos de cada país, para direcionar as vítimas para sites de coleta de credenciais projetados para roubar credenciais de login do Office 365.

O alcance global deste destaques da campanha a compreensão sofisticada dos atores da ameaça sobre a segmentação localizada.

Ao usar redirecionamentos específicos de cada país, os invasores aumentaram a probabilidade de as vítimas confiarem em links maliciosos.

Tycoon2FA também adotou o phishing de código QR como vetor de ataque. A plataforma estava diretamente ligada a quase 25% de todos os ataques de phishing por código QR detectados em outubro de 2025.

A análise de segurança revelou que a maioria dos ataques de phishing de código QR foram entregues através de anexos de arquivos PDF e DOC ou DOCX que continham códigos QR maliciosos.

Este método de entrega explora a confiança do usuário em formatos de documentos padrão, ao mesmo tempo que contorna os filtros tradicionais de segurança de e-mail que podem não verificar completamente os códigos QR incorporados.

A análise das operações do Tycoon2FA revelou padrões de hospedagem distintos. Um número significativo de domínios Tycoon contendo conteúdo de phishing, aproximadamente 40%, foram hospedados em domínios de segundo nível, incluindo .sa[.]com, .com[.]de e .me[.]Extensões do Reino Unido.

Quase um quarto de todos os jogos relacionados ao Tycoon2FA domínios de phishing identificados em outubro foram hospedados especificamente em .sa[.]domínios com.

Essas opções de hospedagem ajudam os invasores a evitar a detecção e a manter a persistência operacional.

As organizações devem priorizar configurações de segurança robustas no Microsoft Defender para Office 365 para se defenderem contra atividades do Tycoon2FA.

As equipes de segurança devem habilitar a autenticação multifator resistente a phishing para todas as contas de usuário como uma primeira linha de defesa crítica.

A adoção de soluções de autenticação sem senha fornece proteção adicional contra roubo de credenciais.

Manter políticas de ameaças atualizadas e aproveitar ferramentas de detecção automatizadas ajudará a limitar as oportunidades dos invasores.

As organizações devem implementar treinamento de conscientização do usuário para ajudá-los a reconhecer telas CAPTCHA falsas e códigos QR suspeitos.

Estas medidas combinadas reforçarão a resiliência contra esta ameaça persistente de phishing.

Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial em Google.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.