Um novo kit malicioso chamado EvilTokens passou a incorporar recursos de device code phishing, permitindo que criminosos sequestrarem contas Microsoft e ampliem as capacidades de ataques de business email compromise, ou BEC.
O kit é comercializado para cibercriminosos via Telegram e está em desenvolvimento contínuo.
Segundo o próprio autor, a intenção é expandir o suporte para páginas de phishing voltadas a Gmail e Okta.
Os ataques de device code phishing abusam do fluxo de autorização de dispositivos do OAuth 2.0, no qual o invasor consegue acesso à conta da vítima ao induzi-la a autorizar um dispositivo malicioso.
A técnica é bem documentada e já foi usada por diferentes grupos de ameaça, incluindo as organizações russas monitoradas como Storm-237, UTA032, UTA0355, UNK_AcademicFlare e TA2723, além do grupo de extorsão de dados ShinyHunters.
Pesquisadores da empresa de detecção e resposta a ameaças Sekoia observaram ataques do EvilTokens em que as vítimas recebiam e-mails com documentos em formatos como PDF, HTML, DOCX, XLSX ou SVG, contendo um QR code ou um hyperlink para um template de phishing do kit.
Essas iscas se passam por conteúdos corporativos legítimos, como documentos financeiros, convites para reuniões, ordens de logística ou compra, avisos de folha de pagamento e documentos compartilhados por serviços como DocuSign ou SharePoint.
Em geral, são direcionadas a funcionários das áreas de finanças, RH, logística ou vendas.
Quando a vítima acessa o link, encontra uma página de phishing que imita um serviço confiável, como Adobe Acrobat ou DocuSign, e exibe um código de verificação com instruções para concluir a validação de identidade.
Em seguida, a página solicita que o usuário clique em um botão “Continue to Microsoft”, redirecionando-o para a página legítima de login de dispositivo da Microsoft.
Nesse ponto, o atacante usa um cliente legítimo, como qualquer aplicativo Microsoft, para solicitar um device code.
Depois, induz a vítima a se autenticar na URL legítima da Microsoft a partir da infraestrutura controlada pelo agente malicioso.
Com isso, o invasor obtém tanto um access token de curta duração quanto um refresh token, o que garante acesso persistente.
Esses tokens dão ao atacante acesso imediato aos serviços associados à conta da vítima, incluindo e-mail, arquivos, dados do Teams e a possibilidade de realizar impersonation via SSO em outros serviços da Microsoft.
Ao analisar a infraestrutura do EvilTokens, os pesquisadores da Sekoia identificaram campanhas com alcance global, com maior impacto nos Estados Unidos, Canadá, França, Austrália, Índia, Suíça e Emirados Árabes Unidos.
Além do phishing avançado, a Sekoia afirma que a operação EvilTokens, no modelo phishing-as-a-service, também oferece recursos avançados para a realização de ataques BEC por meio de automação.
A variedade das campanhas indica que o EvilTokens já está sendo usado em escala por grupos de ameaça envolvidos em atividades de phishing e business email compromise.
A Sekoia também disponibilizou indicadores de comprometimento, detalhes técnicos e regras YARA para ajudar defensores a bloquear ataques que utilizem o kit EvilTokens PhaaS.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...