🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Os ataques de phishing de código de dispositivo que abusam do fluxo de concessão de autorização de dispositivo OAuth 2.0 para sequestrar contas aumentaram mais de 37 vezes este ano.
Nesse tipo de ataque, o autor da ameaça envia uma solicitação de autorização do dispositivo a um provedor de serviços e recebe um código, que é enviado à vítima sob diversos pretextos.
Em seguida, a vítima é enganada para inserir o código na página de login legítima, autorizando assim o dispositivo do invasor a acessar a conta por meio de acesso válido e tokens de atualização.
Este fluxo foi projetado para simplificar a conexão de dispositivos que não possuem opções de entrada acessíveis (por exemplo, dispositivos IoT, impressoras, dispositivos de streaming e smart TVs).
Fluxo de phishing de código de dispositivoFonte: Push Security
A técnica de phishing de código de dispositivo foi documentada pela primeira vez em 2020, mas a exploração maliciosa foi registrada alguns anos depois e tem sido usada tanto por hackers estatais quanto por hackers com motivação financeira [1, 2, 3, 4].
Os investigadores da Push Security observaram um aumento massivo na utilização destes ataques, alertando que têm sido amplamente adotados pelos cibercriminosos.
"No início de março (2026), observamos um aumento de 15x nas páginas de phishing de código de dispositivo detectadas por nossa equipe de pesquisa este ano, com vários kits e campanhas sendo rastreados - sendo o kit agora identificado como EvilTokens o mais proeminente. Esse número agora aumentou para 37,5x." - Segurança push
No início desta semana, a empresa de detecção e resposta a ameaças Sekoia publicou uma pesquisa sobre a operação de phishing como serviço (PhaaS) da EvilTokens. Os pesquisadores sublinham que é um exemplo proeminente de kit de phishing que “democratiza” o phishing de código de dispositivo, disponibilizando-o para cibercriminosos pouco qualificados.
Push concorda que EvilTokens tem sido um grande impulsionador da adoção generalizada da técnica, mas observa que existem várias outras plataformas competindo no mesmo mercado, que poderiam se tornar mais proeminentes no caso de a aplicação da lei interromper os EvilTokens:
VENOM - Um kit PhaaS de código fechado que oferece recursos de phishing de código de dispositivo e AiTM. O componente do código do dispositivo parece ser um clone do EvilTokens.
SHAREFILE - Um kit com tema de transferências de documentos Citrix ShareFile, usando endpoints de back-end baseados em nós para simular o compartilhamento de arquivos e acionar fluxos de código do dispositivo.
CLURE - Um kit que usa endpoints de API rotativos e um portão anti-bot, com iscas com tema SharePoint e infraestrutura de back-end no DigitalOcean.
LINKID – Um kit que utiliza páginas de desafio da Cloudflare e APIs auto-hospedadas, usando Microsoft Teams e iscas com tema Adobe.
AUTHOV - Um kit hospedado pelo workers.dev que usa entrada de código de dispositivo baseada em pop-up e iscas de compartilhamento de documentos da Adobe.
DOCUPOLL – Um kit hospedado em GitHub Pages e workers.dev que imita fluxos de trabalho DocuSign, incluindo réplicas injetadas de páginas reais.
FLOW_TOKEN – Um kit hospedado pelo workers.dev usando infraestrutura de back-end Tencent Cloud, com iscas temáticas de RH e DocuSign e fluxos baseados em pop-up.
PAPRIKA - Um kit hospedado no AWS S3 usando páginas clonadas de login da Microsoft com a marca Office 365 e um rodapé Okta falso.
DCSTATUS - Um kit mínimo com iscas genéricas de “Acesso Seguro” do Microsoft 365 e marcadores de infraestrutura visíveis limitados.
DOLCE - Um kit hospedado pelo Microsoft PowerApps com iscas temáticas da Dolce & Gabbana, provavelmente uma implementação única ou no estilo red-team, em vez de amplamente utilizada.
A Push Security também publicou um vídeo mostrando como funciona o kit DOCUPOLL. O ator da ameaça usa a marca DocuSign e uma isca para um suposto contrato, pedindo à vítima que faça login no aplicativo Microsoft Office.
No total, existem pelo menos 11 kits de phishing que oferecem esse tipo de ataque aos cibercriminosos, todos usando iscas realistas com tema SaaS, proteções anti-bot e abuso de plataformas em nuvem para hospedagem.
Para bloquear ataques de phishing de código de dispositivo, a Push Security sugere que os usuários desabilitem o fluxo quando não for necessário, definindo políticas de acesso condicional em suas contas.
Também é recomendado monitorar logs para eventos inesperados de autenticação de código de dispositivo, endereços IP incomuns e sessões.
Pentesting automatizado cobre apenas 1 de 6 superfícies.
O pentesting automatizado prova que o caminho existe. O BAS prova se seus controles o impedem. A maioria das equipes executa uma sem a outra. Este whitepaper mapeia seis superfícies de validação, mostra onde termina a cobertura e fornece aos profissionais três perguntas de diagnóstico para qualquer avaliação de ferramenta.
Obtenha sua cópia agora
Nesse tipo de ataque, o autor da ameaça envia uma solicitação de autorização do dispositivo a um provedor de serviços e recebe um código, que é enviado à vítima sob diversos pretextos.
Em seguida, a vítima é enganada para inserir o código na página de login legítima, autorizando assim o dispositivo do invasor a acessar a conta por meio de acesso válido e tokens de atualização.
Este fluxo foi projetado para simplificar a conexão de dispositivos que não possuem opções de entrada acessíveis (por exemplo, dispositivos IoT, impressoras, dispositivos de streaming e smart TVs).
Fluxo de phishing de código de dispositivoFonte: Push Security
A técnica de phishing de código de dispositivo foi documentada pela primeira vez em 2020, mas a exploração maliciosa foi registrada alguns anos depois e tem sido usada tanto por hackers estatais quanto por hackers com motivação financeira [1, 2, 3, 4].
Os investigadores da Push Security observaram um aumento massivo na utilização destes ataques, alertando que têm sido amplamente adotados pelos cibercriminosos.
"No início de março (2026), observamos um aumento de 15x nas páginas de phishing de código de dispositivo detectadas por nossa equipe de pesquisa este ano, com vários kits e campanhas sendo rastreados - sendo o kit agora identificado como EvilTokens o mais proeminente. Esse número agora aumentou para 37,5x." - Segurança push
No início desta semana, a empresa de detecção e resposta a ameaças Sekoia publicou uma pesquisa sobre a operação de phishing como serviço (PhaaS) da EvilTokens. Os pesquisadores sublinham que é um exemplo proeminente de kit de phishing que “democratiza” o phishing de código de dispositivo, disponibilizando-o para cibercriminosos pouco qualificados.
Push concorda que EvilTokens tem sido um grande impulsionador da adoção generalizada da técnica, mas observa que existem várias outras plataformas competindo no mesmo mercado, que poderiam se tornar mais proeminentes no caso de a aplicação da lei interromper os EvilTokens:
VENOM - Um kit PhaaS de código fechado que oferece recursos de phishing de código de dispositivo e AiTM. O componente do código do dispositivo parece ser um clone do EvilTokens.
SHAREFILE - Um kit com tema de transferências de documentos Citrix ShareFile, usando endpoints de back-end baseados em nós para simular o compartilhamento de arquivos e acionar fluxos de código do dispositivo.
CLURE - Um kit que usa endpoints de API rotativos e um portão anti-bot, com iscas com tema SharePoint e infraestrutura de back-end no DigitalOcean.
LINKID – Um kit que utiliza páginas de desafio da Cloudflare e APIs auto-hospedadas, usando Microsoft Teams e iscas com tema Adobe.
AUTHOV - Um kit hospedado pelo workers.dev que usa entrada de código de dispositivo baseada em pop-up e iscas de compartilhamento de documentos da Adobe.
DOCUPOLL – Um kit hospedado em GitHub Pages e workers.dev que imita fluxos de trabalho DocuSign, incluindo réplicas injetadas de páginas reais.
FLOW_TOKEN – Um kit hospedado pelo workers.dev usando infraestrutura de back-end Tencent Cloud, com iscas temáticas de RH e DocuSign e fluxos baseados em pop-up.
PAPRIKA - Um kit hospedado no AWS S3 usando páginas clonadas de login da Microsoft com a marca Office 365 e um rodapé Okta falso.
DCSTATUS - Um kit mínimo com iscas genéricas de “Acesso Seguro” do Microsoft 365 e marcadores de infraestrutura visíveis limitados.
DOLCE - Um kit hospedado pelo Microsoft PowerApps com iscas temáticas da Dolce & Gabbana, provavelmente uma implementação única ou no estilo red-team, em vez de amplamente utilizada.
A Push Security também publicou um vídeo mostrando como funciona o kit DOCUPOLL. O ator da ameaça usa a marca DocuSign e uma isca para um suposto contrato, pedindo à vítima que faça login no aplicativo Microsoft Office.
No total, existem pelo menos 11 kits de phishing que oferecem esse tipo de ataque aos cibercriminosos, todos usando iscas realistas com tema SaaS, proteções anti-bot e abuso de plataformas em nuvem para hospedagem.
Para bloquear ataques de phishing de código de dispositivo, a Push Security sugere que os usuários desabilitem o fluxo quando não for necessário, definindo políticas de acesso condicional em suas contas.
Também é recomendado monitorar logs para eventos inesperados de autenticação de código de dispositivo, endereços IP incomuns e sessões.
Pentesting automatizado cobre apenas 1 de 6 superfícies.
O pentesting automatizado prova que o caminho existe. O BAS prova se seus controles o impedem. A maioria das equipes executa uma sem a outra. Este whitepaper mapeia seis superfícies de validação, mostra onde termina a cobertura e fornece aos profissionais três perguntas de diagnóstico para qualquer avaliação de ferramenta.
Obtenha sua cópia agora
#samirnews #samir #news #boletimtec #ataques #de #phishing #de #código #de #dispositivo #aumentam #37 #vezes #à #medida #que #novos #kits #se #espalham #online
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário