Serviço EvilTokens impulsiona phishing OAuth contra contas Microsoft
Um novo kit de phishing como serviço (PhaaS) chamado EvilTokens está facilitando ataques em larga escala contra o fluxo de autorização OAuth 2.0 da Microsoft, permitindo o sequestro de contas corporativas e pessoais. Vendido em canais do Telegram, o serviço é analisado pela Sekoia e já é usado por grupos russos como Storm-237 e ShinyHunters, com templates personalizados para setores como finanças e RH.
Técnica de Ataque com Device Code Phishing
A técnica explora uma funcionalidade legítima do OAuth: o fluxo de "código de dispositivo". Normalmente usado em dispositivos com entrada limitada (como smart TVs), o usuário recebe um código e o insere em uma página de autenticação. O EvilTokens clona essa página, mas redireciona o código para o atacante. Quando a vítima insere suas credenciais da Microsoft na página falsa, o atacante obtém um token de acesso válido à conta, sem precisar da senha.
Alcance Global e Personalização
O serviço oferece templates para imitar páginas de login de Microsoft 365, Azure AD e até portais de RH. A análise mostra vítimas nos EUA, Canadá, França e Alemanha. Os operadores do EvilTokens estão ativamente expandindo para outros provedores de identidade como Gmail e Okta, indicando um modelo de negócio escalável. O preço do serviço é acessível, democratizando ataques sofisticados.
Grupos Ameaçadores e Motivações
Grupos ligados à Rússia usam essa técnica para espionagem industrial e coleta de inteligência. O ShinyHunters, famoso por vazamentos de dados, a utiliza para validar credenciais roubadas e escalar privilégios. O foco em contas corporativas da Microsoft é estratégico: uma única conta compromise pode dar acesso a emails, arquivos no OneDrive e sistemas internos da empresa.
Análise de Impacto Real
O EvilTokens representa uma evolução perigosa no phishing. Ele não depende mais de enganar o usuário com uma URL falsa óbvia, mas de abusar de um fluxo de autenticação legítimo e complexo. A defesa tradicional baseada em educação do usuário falha aqui. A Microsoft precisa revisar a segurança de seus fluxos OAuth, talvez adicionando mais verificações de contexto (como dispositivo conhecido ou localização). Para as empresas, a lição é reforçar a autenticação multifator (MFA) que não seja baseada apenas em notificações push, que podem ser aprovadas inadvertidamente.