ARToken PhaaS

Editors' Pick

A Cisco Talos kutatói egy ARToken nevű, teljes funkcionalitású Phishing-as-a-Service adminisztrációs panelt elemeztek, amely az EvilTokens platform egyik partnerének infrastruktúrájához tartozik. Az ARToken több mint 80 API-végpontot tartalmaz, és teljes körűen automatizálja a Microsoft 365 felhasználók elleni támadásokat, kezeli a célpontokat, a phishing kampányokat, a megszerzett OAuth tokeneket, valamint a kompromittált fiókokon végrehajtott utóműveleteket. A rendszer az OAuth Device Code hitelesítési folyamatot használja ki, így nem jelszavakat lop, hanem a felhasználót veszi rá egy legitim Microsoft bejelentkezési folyamat jóváhagyására, amellyel érvényes hozzáférési és frissítési tokeneket szerez, megkerülve az MFA védelmét. 

A Talos szerint az ARToken fejlett Business Email Compromise funkciókat is kínál, automatikusan keres pénzügyi és számlázási e-maileket, létrehoz vagy módosít Inbox Rule szabályokat az aktivitás elrejtésére, valamint lehetővé teszi az ellopott tokenek kezelését és újrafelhasználását. 

A kutatás alapján az ARToken ugyanazon infrastruktúrát, API-kat és működési modellt használja, mint a korábban dokumentált EvilTokens, ami arra utal, hogy az egy nagyobb, partnerprogramra épülő PhaaS ökoszisztéma része.

FORRÁS