O nouă platformă de phishing-ca-serviciu numită EvilTokens alimentează un val de atacuri de phishing prin cod de dispozitiv împotriva utilizatorilor 365, cercetători în securitate de la mai multe companii avertizând că acest kit a fost deja legat de compromiterea a peste 340 de organizații din cinci țări.
Un kit gata-făcut pentru furtul de token-uri
EvilTokens a apărut pentru prima dată pe un canal Telegram numit NOIRLEGACY GROUP pe 16 februarie 2026, conform cercetărilor publicate de Huntress, care a început să urmărească compromiterile asociate doar trei zile mai târziu. Kit-ul abuzează de fluxul legitim de autorizare a dispozitivelor OAuth 2.0 — un mecanism conceput pentru dispozitive precum televizoarele inteligente care nu dispun de tastaturi complete — pentru a păcăli victimele să finalizeze autentificarea în numele atacatorului.
Atacul funcționează prin generarea unui cod de dispozitiv valabil prin intermediul API-ului Microsoft, care este apoi prezentat victimei pe o pagină de phishing deghizată ca o notificare de document partajat din servicii precum DocuSign, SharePoint sau Adobe Acrobat. Când victima introduce codul pe pagina reală de autentificare Microsoft și finalizează conectarea, inclusiv orice solicitare de autentificare cu mai mulți factori, atacatorul primește token-uri de acces și reîmprospătare care rămân valabile chiar și după resetarea parolei. Token-ul de reîmprospătare poate dura până la 90 de zile și se reînnoiește la fiecare utilizare, oferind atacatorilor acces persistent și silențios la e-mail, OneDrive și Teams.
Firma norvegiană de securitate cibernetică mnemonic, care și-a publicat propria analiză pe 30 martie, a descris EvilTokens ca fiind prima platformă phishing-as-a-service construită în jurul phishing-ului cu cod de dispozitiv, mai degrabă decât în jurul tehnicilor de proxy adversary-in-the-middle utilizate de majoritatea celorlalte kit-uri. Firma franceză Sekoia, într-un raport publicat în aceeași zi, a confirmat că EvilTokens oferă automatizare alimentată de AI pentru generarea de momeli personalizate, efectuarea de recunoaștere a căsuțelor de e-mail și crearea de mesaje de compromitere a e-mailurilor de afaceri după ce un cont este preluat.
Amploare și ținte
Până pe 23 martie, cercetătorii au identificat peste 1.000 de domenii care găzduiau pagini de phishing EvilTokens, cu momeală variind de la rapoarte financiare false până la notificări de salarizare și invitații la întâlniri. Campania a lovit organizații din Statele Unite, Canada, Australia, Noua Zeelandă și Germania, acoperind sectoare precum sănătate, finanțe, administrație publică și construcții. Sekoia a menționat că kitul vizează în principal angajați din departamentele financiare, resurse umane și logistică.
Apărarea împotriva abuzului prin cod dispozitiv
Huntress a observat că atacatorii redirecționează traficul prin Cloudflare Workers și platforma-ca-serviciu Railway pentru a se integra în traficul normal de internet și a eluda blocarea bazată pe reputație. Lanțurile de redirecționări în mai multe salturi exploatează de asemenea servicii legitime de filtrare URL de la Cisco, Trend Micro și Mimecast pentru a trece linkuri de phishing prin filtrele de spam.
Mnemonic și alți cercetători recomandă ca organizațiile să analizeze dacă autentificarea prin cod dispozitiv este cu adevărat necesară și să o restricționeze prin politici de acces condiționat acolo unde este posibil. Revocarea token-urilor de reîmprospătare — nu doar resetarea parolelor — este esențială pentru conturile afectate, iar responsabilii cu securitatea ar trebui să monitorizeze jurnalele de autentificare pentru evenimente de autentificare prin cod dispozitiv anormale.
Surse:
https://thehackernews.com/2026/03/device-code-phishing-hits-340-microsoft.html
https://www.mnemonic.io/resources/blog/eviltokens-from-device-codes-to-token-theft/
https://www.huntress.com/blog/railway-paas-m365-token-replay-campaign