Eviltokens

Pesquisadores de cibersegurança alertam sobre uma campanha ativa de phishing por código de dispositivo que está atacando identidades do Microsoft 365 em mais de 340 organizações nos EUA, Canadá, Austrália, Nova Zelândia e Alemanha. Identificada pela Huntress em 19 de fevereiro de 2026, a campanha utiliza redirecionamentos do Cloudflare Workers e uma infraestrutura hospedada na Railway, transformando-a em um motor de coleta de credenciais. Os setores mais afetados incluem construção, serviços financeiros, saúde e governo. A técnica de phishing por código de dispositivo explora o fluxo de autorização OAuth, permitindo que os atacantes obtenham tokens de acesso persistentes, mesmo após a redefinição de senhas. O ataque começa com um e-mail de phishing que leva a uma página de login legítima da Microsoft, onde a vítima insere seu código de dispositivo e credenciais. A Huntress também atribui a campanha a uma nova plataforma de phishing como serviço chamada EvilTokens, que oferece ferramentas para enviar e-mails de phishing e contornar filtros de spam. A Palo Alto Networks também relatou uma campanha semelhante, destacando o uso de técnicas anti-análise para evitar detecções.