Um novo kit malicioso chamado EvilTokens foi identificado, integrando capacidades de phishing por código de dispositivo, permitindo que atacantes sequestrassem contas da Microsoft e realizassem ataques avançados de comprometimento de e-mail corporativo (BEC). Vendido a cibercriminosos via Telegram, o kit está em constante desenvolvimento, com planos de suporte para páginas de phishing do Gmail e Okta. Os ataques de phishing por código de dispositivo abusam do fluxo de autorização de dispositivo do OAuth 2.0, onde os atacantes enganam a vítima para autorizar um dispositivo malicioso. Pesquisadores da Sekoia observaram que as vítimas recebiam e-mails com documentos que continham QR codes ou links para templates de phishing do EvilTokens, disfarçados como conteúdo empresarial legítimo. Ao clicar, a vítima é redirecionada para uma página de phishing que imita serviços confiáveis, levando à autenticação em uma URL legítima da Microsoft. Isso permite que os atacantes obtenham tokens de acesso e refresh, garantindo acesso imediato aos serviços da conta da vítima. As campanhas têm um alcance global, com os Estados Unidos, Canadá e França entre os países mais afetados. O kit também oferece recursos avançados para automatizar ataques BEC, indicando que já está sendo utilizado em larga escala por atores de ameaças.
Fonte: https://www.bleepingcomputer.com/news/security/new-eviltokens-service-fuels-microsoft-device-code-phishing-attacks/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
01/04/2026 • Risco: ALTO
PHISHING
Novo kit EvilTokens permite phishing de contas Microsoft
RESUMO EXECUTIVO
O kit EvilTokens representa uma ameaça significativa para empresas que utilizam serviços da Microsoft, permitindo que atacantes acessem informações críticas e realizem fraudes. A automação dos ataques BEC pode resultar em perdas financeiras e danos à reputação.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras significativas devido a fraudes e vazamentos de dados.
Operacional
Acesso não autorizado a e-mails, arquivos e dados do Teams.
Setores vulneráveis
['Financeiro', 'Recursos Humanos', 'Logística', 'Vendas']
📊 INDICADORES CHAVE
Campanhas observadas em países como EUA, Canadá, França e Índia.
Indicador
Aumento no uso de phishing como serviço (PhaaS) para BEC.
Contexto BR
Diversidade de templates de phishing observados.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar logs de acesso e autenticações em contas Microsoft.
2
Implementar autenticação multifator (MFA) para contas Microsoft.
3
Monitorar continuamente atividades suspeitas em contas e serviços associados.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança das contas Microsoft, que são amplamente utilizadas em ambientes corporativos. O acesso não autorizado pode levar a vazamentos de dados sensíveis e comprometer a integridade das comunicações empresariais.
⚖️ COMPLIANCE
Implicações legais relacionadas à LGPD e proteção de dados.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
