ConsentFix e ClickFix: como uma conta Microsoft 365 é roubada em 3 segundos

Bastam três segundos. É o tempo que um atacante precisa para tomar controlo de uma conta Microsoft 365 atraves das novas técnicas ConsentFix e ClickFix — e a vítima nunca digita a palavra-passe num site falso, nem ignora nenhum aviso de segurança. Limita-se a seguir aquilo que parece ser um conjunto normal de instruções de autenticação.

Resposta rápida: O ConsentFix e uma evolução do ClickFix que sequestra contas Microsoft 365 explorando os fluxos de consentimento OAuth. A vítima recebe um link de phishing (frequentemente via Dropbox ou DocSend), ve um ecra de autenticação Microsoft aparentemente legitimo e e instruida a arrastar um link para o browser — entregando sem saber os tokens de sessão ao atacante, que ganha acesso ao email e servicos M365 sem palavra-passe e contornando a autenticação multifator (MFA). Desde marco de 2026, um tutorial completo da técnica circula em foruns de cibercrime.

Porque estas técnicas continuam a funcionar

A eficacia destes ataques assenta nos hábitos que todos construimos online: clicar em CAPTCHAs, aceitar avisos de cookies, premir combinações de teclas para avancar um processo. E precisamente esse reflexo treinado que os atacantes exploram — não ha vulnerabilidade técnica, nem confronto com a firewall. Apenas uma mentira convincente inserida no momento certo de um fluxo de trabalho rotineiro.

ClickFix: o utilizador executa o código do atacante

No ClickFix, técnica que explodiu em 2025 e permanece ativa, a vítima ve um prompt falso — tipicamente uma verificacao CAPTCHA fraudulenta — que a instrui a premir uma sequencia de atalhos de teclado. Sem o saber, essa sequencia cola e executa comandos fornecidos pelo atacante na própria máquina da vítima. Ja cobrimos esta técnica aplicada ao macOS; no ecossistema Windows e Microsoft 365, o padrao e o mesmo.

Prompt de verificacao CAPTCHA falso usado num ataque ClickFix
Figura 1: Num ataque ClickFix, a vítima segue passos de verificacao falsos que acabam por executar código malicioso na sua própria máquina. Imagem: Huntress Labs, via BleepingComputer

ConsentFix: o roubo da sessão Microsoft 365

A variante mais recente, o ConsentFix, desloca a superficie de ataque para os fluxos de consentimento OAuth do Microsoft 365 — aqueles ecras de autorizacao que os utilizadores aprenderam a aceitar sem grande escrutinio. O esquema e enganadoramente limpo: um isco de phishing chega, muitas vezes atraves de plataformas de confiança como o Dropbox ou o DocSend, por vezes protegido por password (o que dificulta a inspecao pelas ferramentas de segurança).

A vítima clica, depara-se com o que parece um ecra de autenticação Microsoft padrao, e e convidada a concluir o processo arrastando um link de callback localhost para o browser. Esse passo de arrastar-e-largar e a armadilha: em vez de concluir uma autenticação inofensiva, o utilizador entrega sem saber os tokens OAuth, dando ao atacante acesso a sessão de email e outros servicos Microsoft 365 — sem palavra-passe e contornando a MFA. Não e a credencial que e roubada, e a própria sessão ja autenticada.

Página de phishing ConsentFix que imita o ecra de inicio de sessão do Microsoft 365
Figura 2: O ConsentFix sequestra o fluxo de inicio de sessão do Microsoft 365, transformando uma ação familiar do utilizador em roubo de sessão. Imagem: Huntress Labs, via BleepingComputer

O manual ja circula em foruns de cibercrime

Em inicio de marco de 2026, um tutorial detalhado do ConsentFix foi publicado num forum russo de cibercrime, incluindo código funcional, capturas de ecra da infraestrutura e um video demonstrativo de como construir e implementar o ataque. A infraestrutura assentava em servicos gratuitos ou amplamente disponiveis, e a publicacao explicava ainda como os atacantes tracam o perfil dos alvos antes de enviar a primeira mensagem — usando o LinkedIn e ferramentas semelhantes para mapear organizacoes e personalizar os iscos.

O que antes exigia competencia técnica significativa vem agora embalado com documentacao e instruções passo a passo. A barreira de entrada não para de descer — o mesmo padrao que vimos com o ransomware-as-a-service.

Como reduzir a exposicao

  • Desconfie de qualquer pedido para premir teclas ou arrastar links — nenhum site legitimo pede isto para uma verificacao de segurança ou login.
  • Questione o contexto — porque e que uma página quer que eu arraste um link estranho para o browser? Essa pausa e muitas vezes suficiente para travar o ataque.
  • Reveja as aplicacoes OAuth autorizadas no Microsoft 365 (Azure AD / Entra ID) e revogue consentimentos suspeitos.
  • Implemente monitorizacao de identidade e endpoint — atividade anomala do PowerShell a partir de processos normais, ou novos logins de sessão a partir de localizações inesperadas, sao sinais de alerta.
  • Aplique políticas de acesso condicional que limitem sessões a dispositivos e localizações de confiança.

Porque e que isto importa em Portugal

O Microsoft 365 e a espinha dorsal digital de milhares de empresas e organismos publicos portugueses. Um ataque que contorna a MFA — a defesa em que muitas organizacoes depositam a maior confiança — e particularmente perigoso, porque desmonta a ideia de que “com autenticação de dois fatores estou protegido”. O roubo de tokens de sessão ignora completamente essa camada.

Para as entidades abrangidas pelo Regime Juridico da Ciberseguranca, o comprometimento de contas M365 pode constituir um incidente com impacto significativo, sujeito a notificacao ao CNCS em 24 horas. Recomendamos tambem a leitura do nosso sumario executivo sobre phishing e engenharia social.

Esta informação tem carater noticioso e baseia-se em investigacao da Huntress Labs reportada pelo BleepingComputer.