Vendido pelo Telegram e em contínuo desenvolvimento, o kit explora uma brecha no protocolo OAuth 2.0 e já tem vítimas em sete países; o autor promete expandir os ataques ao Gmail e à Okta.
Um novo kit malicioso denominado EvilTokens está sendo utilizado para sequestrar contas da Microsoft, permitindo que os invasores acessem as contas sem precisar conhecer as senhas das vítimas.
A ameaça foi detectada por pesquisadores da Sekoia, uma empresa especializada em detecção e resposta a ameaças cibernéticas. O kit combina táticas avançadas de phishing com automação para realizar ataques de comprometimento de e-mail corporativo (BEC, sigla em inglês).
O kit é comercializado via Telegram e não exige conhecimentos técnicos do comprador. O autor do programa afirma que está planejando ampliar o suporte para páginas de phishing direcionadas ao Gmail e à plataforma de gestão de identidade Okta.
O golpe começa com um documento comum
As campanhas do EvilTokens chegam às vítimas através de e-mails que contêm anexos. Esses podem ser PDFs, HTML, DOCX, XLSX ou até arquivos SVG, todos podendo incluir um código QR ou um link que redireciona para uma página de phishing controlada pelos criminosos.
Ao clicar, a vítima é levada a uma página que se disfarça como um serviço confiável, como Adobe Acrobat ou DocuSign. Esta página apresenta um código de verificação e instrui o usuário a clicar em “Continuar para a Microsoft” para finalizar uma falsa validação de identidade.
O redirecionamento final dirige o usuário a uma URL legítima da Microsoft, onde o golpe acontece de fato.
Brecha no sistema da Microsoft
O EvilTokens aproveita o fluxo de autorização de dispositivos do protocolo OAuth 2.0, um mecanismo legítimo concebido para permitir que dispositivos sem teclado acessem serviços online. Na versão maliciosa, o invasor fornece o link e utiliza um aplicativo legítimo da Microsoft para gerar um código de dispositivo, induzindo a vítima a inseri-lo na página oficial. Assim, o atacante consegue um token de acesso de curta duração e um token de atualização para acesso persistente, sem necessidade de conhecer a senha.
Com esses tokens, o invasor ganha acesso a e-mails, arquivos e dados do Teams, além de poder se passar pela vítima em qualquer serviço da Microsoft via autenticação única (SSO).
Técnica conhecida, mas escala alarmante
A técnica de phishing utilizando códigos de dispositivo não é inédita. Grupos de ameaças, como Storm-2372, UTA0317, UTA0355 e TA2723 — alguns deles com laços associados a operações russas — já foram identificados como empregadores desse método. O grupo de extorsão de dados ShinyHunters também está na lista.
O que distingue o EvilTokens é a automação e a disponibilidade como serviço. A diversidade de campanhas monitoradas pela Sekoia sugere que o kit já está em ampla utilização, afetando alvos localizados nos Estados Unidos, Canadá, França, Austrália, Índia, Suíça e Emirados Árabes Unidos.
Como se proteger
Esses ataques dependem da interação da vítima para serem bem-sucedidos. Por isso, a conscientização continua sendo a principal linha de defesa.
- Desconfie de qualquer e-mail que solicite validação de identidade por meio de links ou QR codes, mesmo que o remetente ou a página pareçam confiáveis;
- Esteja alerta a solicitações envolvendo códigos de dispositivo da Microsoft; esse fluxo raramente é empregado no dia a dia corporativo e pode indicar um sinal de alerta.
Acompanhe o TecMania para mais novidades sobre segurança digital. Inscreva-se em nossa newsletter e canal do YouTube para receber as últimas notícias sobre tecnologia.
