EvilTokens PhaaS
Az ESET kutatói által elemzett EvilTokens egy új generációs Phishing-as-a-Service (PhaaS) platform, amely alapvetően eltér a hagyományos adathalász készletektől. A támadók nem hamis bejelentkezési oldalt készítenek, nem jelszót lopnak és nem próbálják megkerülni a többtényezős hitelesítést. Ehelyett a Microsoft által biztosított, teljesen legitim OAuth 2.0 Device Authorization Grant – device code flow – folyamatot használják fel Microsoft 365-fiókok kompromittálására.
A támadás során a fenyegető szereplő egy valódi eszközkódot kér a Microsoft Entra ID infrastruktúrájától, majd valamilyen üzleti témájú csalit – például SharePoint-dokumentumot, DocuSign-kérést, számlát vagy pénzügyi értesítést – küld az áldozatnak. A felhasználót arra veszik rá, hogy a hivatalos microsoft.com/devicelogin oldalon adja meg a kapott kódot. A teljes hitelesítési folyamat a Microsoft legitim infrastruktúráján zajlik, ezért a felhasználó a saját jelszavát és MFA-hitelesítését is valódi Microsoft oldalon használja. A kritikus pont az, hogy a sikeres hitelesítés eredményeként keletkező OAuth tokenek nem az áldozat eszközéhez, hanem a támadó által kezdeményezett munkamenethez kerülnek.
A támadó access tokeneket és refresh tokeneket szerez, nem pedig hitelesítő adatokat. A refresh tokenek hosszú ideig érvényesek maradhatnak, és bizonyos esetekben még jelszóváltoztatás után is használhatók, amennyiben azokat nem vonják vissza külön. A kompromittálás ezért gyakran túléli a hagyományos incidenskezelési lépéseket, amelyek kizárólag a jelszócserére koncentrálnak.
A Sekoia, Microsoft, Huntress és más kutatók szerint az EvilTokens gyorsan elterjedt a kiberbűnözői körökben. A szolgáltatás automatizálja a Microsoft API-hívásokat, előre elkészített csalikat biztosít, valamint MI-alapú funkciókat kínál az ellopott postafiókok elemzésére és a Business Email Compromise (BEC) műveletek támogatására. A dokumentált kampányok több száz szervezetet érintettek, elsősorban pénzügyi, HR-, logisztikai és vezetői szerepkörökben dolgozó alkalmazottakat célozva.
Az EvilTokens célja a legitim hitelesítési folyamatok és OAuth-jogosultságok megszerzése. Ebben a modellben az MFA nem kerül megkerülésre, hanem az áldozat maga hajtja végre a támadó érdekében. Ez a megközelítés különösen veszélyes a Microsoft 365 környezetben, mivel a megszerzett tokenekkel a támadók hozzáférhetnek Exchange Online, SharePoint, OneDrive és más Microsoft Graph-alapú erőforrásokhoz anélkül, hogy újabb hitelesítésre lenne szükségük.
