Eviltokens

Os ataques de phishing que abusam do fluxo de autorização de dispositivo do OAuth 2.0 aumentaram mais de 37 vezes em 2023. Nesse tipo de ataque, o criminoso envia um pedido de autorização de dispositivo a um provedor de serviços e recebe um código, que é enviado à vítima sob diversos pretextos. A vítima é enganada a inserir o código em uma página de login legítima, autorizando assim o dispositivo do atacante a acessar sua conta. Essa técnica, documentada pela primeira vez em 2020, tem sido amplamente adotada por cibercriminosos, incluindo hackers estatais e motivados financeiramente. A Push Security observou um aumento significativo na detecção de páginas de phishing relacionadas a esses ataques, com o kit EvilTokens se destacando como um dos principais responsáveis por essa tendência. Outros kits, como VENOM e SHAREFILE, também estão emergindo no mercado, oferecendo ferramentas para cibercriminosos de baixa habilidade. Para mitigar esses ataques, recomenda-se que os usuários desativem o fluxo de autorização de dispositivo quando não necessário e monitorem logs em busca de eventos de autenticação inesperados.

Um novo kit malicioso chamado EvilTokens foi identificado, integrando capacidades de phishing por código de dispositivo, permitindo que atacantes sequestrassem contas da Microsoft e realizassem ataques avançados de comprometimento de e-mail corporativo (BEC). Vendido a cibercriminosos via Telegram, o kit está em constante desenvolvimento, com planos de suporte para páginas de phishing do Gmail e Okta. Os ataques de phishing por código de dispositivo abusam do fluxo de autorização de dispositivo do OAuth 2.0, onde os atacantes enganam a vítima para autorizar um dispositivo malicioso. Pesquisadores da Sekoia observaram que as vítimas recebiam e-mails com documentos que continham QR codes ou links para templates de phishing do EvilTokens, disfarçados como conteúdo empresarial legítimo. Ao clicar, a vítima é redirecionada para uma página de phishing que imita serviços confiáveis, levando à autenticação em uma URL legítima da Microsoft. Isso permite que os atacantes obtenham tokens de acesso e refresh, garantindo acesso imediato aos serviços da conta da vítima. As campanhas têm um alcance global, com os Estados Unidos, Canadá e França entre os países mais afetados. O kit também oferece recursos avançados para automatizar ataques BEC, indicando que já está sendo utilizado em larga escala por atores de ameaças.

Pesquisadores de cibersegurança alertam sobre uma campanha ativa de phishing por código de dispositivo que está atacando identidades do Microsoft 365 em mais de 340 organizações nos EUA, Canadá, Austrália, Nova Zelândia e Alemanha. Identificada pela Huntress em 19 de fevereiro de 2026, a campanha utiliza redirecionamentos do Cloudflare Workers e uma infraestrutura hospedada na Railway, transformando-a em um motor de coleta de credenciais. Os setores mais afetados incluem construção, serviços financeiros, saúde e governo. A técnica de phishing por código de dispositivo explora o fluxo de autorização OAuth, permitindo que os atacantes obtenham tokens de acesso persistentes, mesmo após a redefinição de senhas. O ataque começa com um e-mail de phishing que leva a uma página de login legítima da Microsoft, onde a vítima insere seu código de dispositivo e credenciais. A Huntress também atribui a campanha a uma nova plataforma de phishing como serviço chamada EvilTokens, que oferece ferramentas para enviar e-mails de phishing e contornar filtros de spam. A Palo Alto Networks também relatou uma campanha semelhante, destacando o uso de técnicas anti-análise para evitar detecções.