microsoft.com/devicelogin, que autoriza o cliente do invasor) Uma extensão de navegador companheira, o ForgCookie, é compatível com Chrome, Edge e Brave . Depois que os tokens ou cookies de sessão da vítima são coletados, o ForgCookie atualiza automaticamente os cookies de sessão roubados, permitindo que o invasor mantenha o acesso aos serviços do Microsoft 365 (Outlook, Teams, OneDrive, SharePoint) sem reautenticação — mesmo depois que a vítima altera a senha
. Isso transforma uma captura única de token em um comprometimento persistente e de longo prazo.
Divulgado pela ReliaQuest e pelo BleepingComputer em 14 de julho de 2026, o Jalisco é um kit de phishing de código de dispositivo ativamente usado contra contas Microsoft 365 . Ele funciona da seguinte forma:
Isso significa que o MFA não é "quebrado" — ele é usado como arma.
Também relatado em 14 de julho de 2026, o OmegaLord adota uma abordagem diferente: ele se disfarça de página de navegador de leitor de PDF falsa . Quando as vítimas acessam a página:
Múltiplas fontes confirmam uma tendência mais ampla do setor:
A percepção crítica em todas essas ameaças é que o MFA não é tecnicamente derrotado — ele é cooptado:
| Técnica | O que acontece | Por que o MFA não impede |
|---|---|---|
| Phishing de código de dispositivo | A vítima insere o código do invasor na página de login real da Microsoft e conclui seu próprio MFA | O token vai para o aplicativo do invasor. O MFA aprovou o usuário certo — para o cliente errado. |
| Proxy AiTM | A vítima faz login por meio do proxy do invasor, o MFA é concluído normalmente | O invasor captura o cookie de sessão em tempo real e sequestra a sessão. |
| Coleta de credencial + OTP | Formulário de login falso captura senha e OTP simultaneamente | O OTP é usado imediatamente pelo invasor antes de expirar. |
Com base em vários avisos, as seguintes medidas de mitigação são fortemente recomendadas:
devicecode).offline_access, Mail.Read ou Files.ReadWrite.All.Essas recomendações são extraídas do alerta do FBI , do blog de segurança da Microsoft
, do BleepingComputer
e da análise de ameaças da ReliaQuest
.
A onda de phishing do Microsoft 365 em 2026 — liderada pelo Forg365 (com sua extensão de persistência ForgCookie), Jalisco, OmegaLord e o ecossistema mais amplo de kits de código de dispositivo e AiTM — representa uma mudança de paradigma. Os invasores não precisam mais roubar senhas ou quebrar o MFA. Em vez disso, eles abusam do modelo de confiança OAuth para fazer com que a própria autenticação da vítima autorize uma sessão controlada pelo invasor. A recomendação consensual da comunidade de segurança é uma postura de confiança zero: desabilitar fluxos de autenticação não utilizados, impor Acesso Condicional, monitorar concessões de token e avançar para MFA resistente a phishing .