Um novo kit malicioso chamado EvilTokens está sendo usado para sequestrar contas da Microsoft sem que os invasores precisem, em nenhum momento, conhecer a senha da vítima.
A ameaça foi identificada por pesquisadores da Sekoia, empresa de detecção e resposta a ameaças, e combina técnicas avançadas de phishing com automação para ataques de comprometimento de e-mail corporativo (BEC, na sigla em inglês).
smart_display
Nossos vídeos em destaque
O kit é comercializado por Telegram e não exige que o comprador tenha qualquer conhecimento técnico. Seu autor afirma que planeja ampliar o suporte para páginas de phishing voltadas ao Gmail e à plataforma de gestão de identidade Okta.
O golpe começa com um documento comum
As campanhas do EvilTokens chegam até as vítimas por meio de um e-mail com um anexo. Pode ser um PDF, HTML, DOCX, XLSX ou até um arquivo SVG, qualquer um deles pode conter um código QR ou um link que direciona para uma página de phishing controlada pelos invasores.
Ao clicar, a vítima é levada a uma página que se passa por um serviço confiável, como Adobe Acrobat ou DocuSign. A página exibe um código de verificação e instrui o usuário a clicar em “Continuar para a Microsoft” para concluir uma suposta validação de identidade.
O redirecionamento final leva para uma URL real da Microsoft, a página oficial de login para dispositivos. É nesse ponto que o golpe acontece de fato.
)
Brecha está no próprio sistema da Microsoft
O EvilTokens explora o fluxo de autorização de dispositivos do protocolo OAuth 2.0. Esse é um mecanismo legítimo criado para permitir que dispositivos sem teclado acessem serviços online. Pode ser usado em smart TVs e consoles, por exemplo. No fluxo original, o usuário acessa um link fornecido pelo dispositivo e insere um código para autorizar o acesso.
Na versão maliciosa, quem fornece esse link é o invasor. Ele usa um aplicativo legítimo da Microsoft para gerar um código de dispositivo e, em seguida, induz a vítima a inserir esse código na página oficial. Assim, o atacante recebe um token de acesso de curta duração e um token de atualização para acesso persistente, sem nunca precisar da senha.
)
Com esses tokens em mãos, o invasor passa a ter acesso ao e-mail, aos arquivos, aos dados do Teams. Além da capacidade de se passar pela vítima em qualquer serviço da Microsoft via autenticação única (SSO).
Técnica conhecida, escala preocupante
A técnica de phishing por código de dispositivo não é nova. Grupos de ameaça rastreados como Storm-2372, UTA0317, UTA0355 e TA2723 — alguns deles com vínculos atribuídos a operações russas — já foram associados a ataques que utilizam o mesmo método. O grupo de extorsão de dados ShinyHunters também figura na lista.
O que diferencia o EvilTokens é a automação e a oferta como serviço. A variedade de campanhas observadas pela Sekoia sugere que o kit já está em uso em larga escala, com alvos identificados nos Estados Unidos, Canadá, França, Austrália, Índia, Suíça e Emirados Árabes Unidos.
)
Como se proteger
Ataques desse tipo dependem da interação da vítima para funcionar. Por isso, a conscientização continua sendo a principal linha de defesa.
- Desconfie de qualquer e-mail que peça para você validar sua identidade clicando em links ou escaneando QR codes, mesmo que o remetente ou a página pareçam confiáveis;
- Fique atento a solicitações que envolvam códigos de dispositivo da Microsoft, esse fluxo raramente é usado no dia a dia corporativo e pode ser um sinal de alerta.
Acompanhe o TecMundo para saber mais sobre o caso. Inscreva-se em nossa newsletter e canal do YouTube para mais notícias de segurança e tecnologia.
