Новый вредоносный комплект EvilTokens интегрирует фишинг кодов устройств для захвата учетных записей Microsoft и предлагает функции для атак BEC. Комплект продается через Telegram и нацелен на пользователей по всему миру. — bleepingcomputer.com
Новый вредоносный комплект под названием EvilTokens включает возможности фишинга с использованием кодов устройств, что позволяет злоумышленникам захватывать учетные записи Microsoft и предоставляет расширенные функции для атак типа «компрометация деловой переписки» (business email compromise).
Комплект продается киберпреступникам через Telegram и находится в стадии постоянной разработки; его автор заявляет о планах расширить поддержку фишинговых страниц для Gmail и Okta.
Атаки с использованием фишинга кодов устройств злоупотребляют потоком авторизации устройств OAuth 2.0, при котором злоумышленники получают доступ к учетной записи жертвы, обманом заставляя владельца авторизовать вредоносное устройство.
Эта техника хорошо задокументирована и использовалась различными злоумышленниками, включая российские группы, отслеживаемые как Storm-237, UTA032, UTA0355, UNK_AcademicFlare и TA2723 [1, 2, 3], а также группой по вымогательству данных ShinyHunters.
Атаки EvilTokens
Исследователи из компании по обнаружению угроз и реагированию Sekoia наблюдали атаки EvilTokens, в ходе которых жертвы получали электронные письма с документами (PDF, HTML, DOCX, XLSX или SVG), содержащими либо QR-код, либо гиперссылку на фишинговый шаблон EvilTokens.
Эти приманки имитируют легитимный деловой контент, такой как финансовые документы, приглашения на встречи, логистические или закупочные ордера, уведомления о заработной плате или документы, которыми поделились через такие сервисы, как DocuSign или SharePoint, и часто нацелены на сотрудников, работающих в сфере финансов, HR, логистики или продаж.
Когда жертва открывает ссылку, ей отображается фишинговая страница, имитирующая доверенный сервис (например, Adobe Acrobat или DocuSign), на которой отображается проверочный код и инструкции для завершения верификации личности.
Страница предлагает пользователю нажать кнопку «Продолжить в Microsoft», перенаправляя его на легитимную страницу входа устройства Microsoft.
На этом этапе злоумышленник использует легитимный клиент (любое приложение Microsoft) для запроса кода устройства. Затем он обманом заставляет жертву пройти аутентификацию по легитимному URL-адресу Microsoft от имени злоумышленника.
Таким образом, злоумышленник получает как краткосрочный токен доступа, так и токен обновления для постоянного доступа.
Эти токены предоставляют злоумышленнику немедленный доступ к службам, связанным с учетной записью жертвы, включая электронную почту, файлы, данные Teams и возможность выполнять подмену личности по SSO во всех службах Microsoft.
Исследователи Sekoia изучили инфраструктуру EvilTokens и обнаружили кампании с глобальным охватом; наиболее пострадавшими странами являются США, Канада, Франция, Австралия, Индия, Швейцария и ОАЭ.
Помимо продвинутого фишинга, исследователи Sekoia утверждают, что операция EvilTokens phishing-as-a-service (PhaaS) также предоставляет «расширенные функции для проведения атак BEC [компрометация деловой переписки]» посредством автоматизации.
Разнообразие кампаний предполагает, что EvilTokens уже используется в больших масштабах злоумышленниками, занимающимися фишингом и компрометацией деловой переписки (BEC).
Sekoia предоставляет индикаторы компрометации (IoC), технические детали и правила YARA, чтобы помочь защитникам блокировать атаки с использованием комплекта EvilTokens PhaaS.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas