EvilTokens PhaaS
A Sekoia kétrészes elemzése az EvilTokens PhaaS működésének mélyebb, operatív szintű feltárását, a phishing egy teljesen automatizált, AI-vezérelt BEC (Business Email Compromise) platformmá válását ismerteti. A rendszer nemcsak a kezdeti hozzáférést biztosítja Microsoft 365 fiókokhoz device code phishing segítségével, hanem a kompromittált hozzáféréseket azonnal fegyverré alakítja tokenek felhasználásával.
A kampány Telegram-alapú infrastruktúrára épül, ahol a teljes PhaaS, az értékesítés, a menedzsment, a telepítés és működtetés botokon keresztül történik. A támadók egy központi admin panelen keresztül férnek hozzá az ellopott tokenekhez, miközben a phishing oldalak automatizáltan telepíthetők például Cloudflare Workers környezetbe, ami jelentősen növeli a skálázhatóságot és a rejtettséget.
A legfontosabb újítás az AI-alapú feldolgozó pipeline, amely a kompromittált postafiókok tartalmát automatikusan elemzi. A rendszer képes nagy mennyiségű e-mailből pénzügyi tranzakciókhoz kapcsolódó beszélgetéseket azonosítani, majd ezek alapján célzott BEC támadási forgatókönyvet generálni. Ez magában foglalja a személyre szabott, kontextusba illeszkedő csaló e-mailek automatikus megírását is, ami drasztikusan növeli a sikerességi arányt.
A platform további eleme egy dedikált Portal Browser, amely lehetővé teszi több kompromittált Microsoft fiók párhuzamos kezelését ellopott tokenekkel, beleértve admin szintű hozzáféréseket is.
