Bec

Um novo kit malicioso chamado EvilTokens foi identificado, integrando capacidades de phishing por código de dispositivo, permitindo que atacantes sequestrassem contas da Microsoft e realizassem ataques avançados de comprometimento de e-mail corporativo (BEC). Vendido a cibercriminosos via Telegram, o kit está em constante desenvolvimento, com planos de suporte para páginas de phishing do Gmail e Okta. Os ataques de phishing por código de dispositivo abusam do fluxo de autorização de dispositivo do OAuth 2.0, onde os atacantes enganam a vítima para autorizar um dispositivo malicioso. Pesquisadores da Sekoia observaram que as vítimas recebiam e-mails com documentos que continham QR codes ou links para templates de phishing do EvilTokens, disfarçados como conteúdo empresarial legítimo. Ao clicar, a vítima é redirecionada para uma página de phishing que imita serviços confiáveis, levando à autenticação em uma URL legítima da Microsoft. Isso permite que os atacantes obtenham tokens de acesso e refresh, garantindo acesso imediato aos serviços da conta da vítima. As campanhas têm um alcance global, com os Estados Unidos, Canadá e França entre os países mais afetados. O kit também oferece recursos avançados para automatizar ataques BEC, indicando que já está sendo utilizado em larga escala por atores de ameaças.