Новый сложный набор инструментов для фишинга как услуги (PhaaS), получивший название "EvilTokens", активно продвигается среди киберпреступников и специализируется на эксплуатации потока кода устройства OAuth от Microsoft для захвата учетных записей пользователей. Этот сервис, рекламируемый в каналах Telegram, предоставляет злоумышленникам готовое решение для проведения фишинговых атак с использованием кода устройства — техники, которая обходит традиционный сбор учетных данных, обманом заставляя пользователей авторизовать вредоносное устройство. По данным исследователей компании по обнаружению угроз Sekoia, набор находится в постоянной разработке, и его автор планирует расширить поддержку, включив фишинговые шаблоны для Gmail и Okta, что значительно расширяет его потенциальное воздействие.
В основе атаки EvilTokens лежит злоупотребление потоком авторизации устройства OAuth 2.0, законным протоколом, предназначенным для устройств с ограниченными возможностями ввода, таких как смарт-телевизоры. В этой атаке жертве представляется QR-код или ссылка, ведущая на страницу входа Microsoft, отображающую уникальный код. Пользователю предлагается посетить отдельный веб-сайт для входа с устройства Microsoft и ввести этот код для "аутентификации". Не подозревая об этом, это действие предоставляет сеансу злоумышленника полный доступ к учетной записи Microsoft жертвы, включая электронную почту, OneDrive и подключенные службы, без того чтобы жертва когда-либо передавала свой пароль. Этот метод использовался различными продвинутыми субъектами угроз, включая группы, связанные с Россией, отслеживаемые как Storm-237 и TA2723, а также печально известную банду вымогателей данных ShinyHunters.
Анализ Sekoia показывает, что кампании EvilTokens являются высокоцелевыми и часто направлены на сотрудников финансовых, кадровых и логистических отделов. Первоначальные фишинговые приманки — это тщательно составленные электронные письма, содержащие вредоносные вложения, такие как файлы PDF, DOCX или HTML, которые имитируют легитимные деловые коммуникации. Эти документы могут выглядеть как финансовые отчеты, уведомления о заработной плате, приглашения на встречи через такие платформы, как Microsoft Teams, или общие документы из таких служб, как DocuSign или SharePoint. Встроенные QR-коды или гиперссылки ведут к убедительным фишинговым шаблонам EvilTokens, которые плавно запускают процесс аутентификации по коду устройства.
Появление EvilTokens в качестве коммерческого сервиса снижает порог входа для проведения высокоэффективных атак на компрометацию корпоративной электронной почты (BEC) и захват учетных записей. Предоставляя удобный интерфейс и постоянную поддержку, набор инструментов позволяет менее технически подкованным субъектам угроз запускать сложные кампании, которые могут привести к значительному финансовому мошенничеству и краже данных. Это развитие подчеркивает критическую необходимость для организаций повышать осведомленность пользователей об этом конкретном векторе фишинга и внедрять политики условного доступа, требующие дополнительной проверки для аутентификации по коду устройства, особенно с новых или незнакомых местоположений.
