🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um novo kit malicioso chamado EvilTokens integra recursos de phishing de código de dispositivo, permitindo que invasores sequestrem contas da Microsoft e forneçam recursos avançados para ataques de comprometimento de e-mail comercial.
O kit é vendido para cibercriminosos pelo Telegram e está em desenvolvimento contínuo, e seu autor afirma que planeja estender o suporte para páginas de phishing do Gmail e Okta.
Os ataques de phishing de código de dispositivo abusam do fluxo de autorização de dispositivo OAuth 2.0, no qual os invasores obtêm acesso à conta da vítima enganando o proprietário para que autorize um dispositivo malicioso.
A técnica está bem documentada e tem sido usada por vários atores de ameaças, incluindo grupos russos rastreados como Storm-237, UTA032, UTA0355, UNK_AcademicFlare e TA2723 [1, 2, 3], e o grupo de extorsão de dados ShinyHunters.
Ataques EvilTokens
Pesquisadores da empresa de detecção e resposta a ameaças Sekoia observaram ataques do EvilTokens em que as vítimas recebiam e-mails com documentos (PDF, HTML, DOCX, XLSX ou SVG) que continham um código QR ou um hiperlink para um modelo de phishing do EvilTokens.
Essas iscas personificam conteúdo comercial legítimo, como documentos financeiros, convites para reuniões, logística ou pedidos de compra, avisos de folha de pagamento ou documentos compartilhados por meio de serviços como DocuSign ou SharePoint, e geralmente são adaptadas para funcionários em funções de finanças, RH, logística ou vendas.
Vários modelos de phishing em EvilTokensFonte: Sekoia
Quando a vítima abre o link, é apresentada uma página de phishing que se faz passar por um serviço confiável (por exemplo, Adobe Acrobat ou DocuSign), que exibe um código de verificação e instruções para concluir a verificação de identidade.
A página solicita que o usuário clique no botão “Continuar para a Microsoft”, redirecionando-o para a página de login do dispositivo legítimo da Microsoft.
At this step, the attacker uses a legitimate client (any Microsoft application) to request a device code. Em seguida, eles enganam a vítima para que ela se autentique no URL legítimo da Microsoft do autor da ameaça.
Fluxo de ataque EvilTokensFonte: Sekoia
Dessa forma, o invasor recebe um token de acesso de curta duração e um token de atualização para acesso persistente.
Esses tokens dão ao invasor acesso imediato aos serviços associados à conta da vítima, incluindo e-mail, arquivos, dados do Teams e a capacidade de realizar representação de SSO em serviços Microsoft.
Os pesquisadores da Sekoia examinaram a infraestrutura do EvilTokens e descobriram campanhas com alcance global, sendo os países mais afetados os Estados Unidos, Canadá, França, Austrália, Índia, Suíça e Emirados Árabes Unidos.
Países mais visados pelos operadores EvilTokensFonte: Sekoia
Além do phishing avançado, os pesquisadores da Sekoia dizem que a operação de phishing como serviço (PhaaS) da EvilTokens também fornece "recursos avançados para conduzir ataques BEC [comprometimento de e-mail comercial]" por meio da automação.
A variedade de campanhas sugere que EvilTokens já está sendo usado em grande escala por agentes de ameaças envolvidos em atividades de phishing e comprometimento de e-mail comercial (BEC).
A Sekoia fornece indicadores de comprometimento (IoC), detalhes técnicos e regras YARA para ajudar os defensores a bloquear ataques aproveitando o kit EvilTokens PhaaS.
Pentesting automatizado cobre apenas 1 de 6 superfícies.
O pentesting automatizado prova que o caminho existe. O BAS prova se seus controles o impedem. A maioria das equipes executa uma sem a outra. Este whitepaper mapeia seis superfícies de validação, mostra onde termina a cobertura e fornece aos profissionais três perguntas de diagnóstico para qualquer avaliação de ferramenta.
Obtenha sua cópia agora
O kit é vendido para cibercriminosos pelo Telegram e está em desenvolvimento contínuo, e seu autor afirma que planeja estender o suporte para páginas de phishing do Gmail e Okta.
Os ataques de phishing de código de dispositivo abusam do fluxo de autorização de dispositivo OAuth 2.0, no qual os invasores obtêm acesso à conta da vítima enganando o proprietário para que autorize um dispositivo malicioso.
A técnica está bem documentada e tem sido usada por vários atores de ameaças, incluindo grupos russos rastreados como Storm-237, UTA032, UTA0355, UNK_AcademicFlare e TA2723 [1, 2, 3], e o grupo de extorsão de dados ShinyHunters.
Ataques EvilTokens
Pesquisadores da empresa de detecção e resposta a ameaças Sekoia observaram ataques do EvilTokens em que as vítimas recebiam e-mails com documentos (PDF, HTML, DOCX, XLSX ou SVG) que continham um código QR ou um hiperlink para um modelo de phishing do EvilTokens.
Essas iscas personificam conteúdo comercial legítimo, como documentos financeiros, convites para reuniões, logística ou pedidos de compra, avisos de folha de pagamento ou documentos compartilhados por meio de serviços como DocuSign ou SharePoint, e geralmente são adaptadas para funcionários em funções de finanças, RH, logística ou vendas.
Vários modelos de phishing em EvilTokensFonte: Sekoia
Quando a vítima abre o link, é apresentada uma página de phishing que se faz passar por um serviço confiável (por exemplo, Adobe Acrobat ou DocuSign), que exibe um código de verificação e instruções para concluir a verificação de identidade.
A página solicita que o usuário clique no botão “Continuar para a Microsoft”, redirecionando-o para a página de login do dispositivo legítimo da Microsoft.
At this step, the attacker uses a legitimate client (any Microsoft application) to request a device code. Em seguida, eles enganam a vítima para que ela se autentique no URL legítimo da Microsoft do autor da ameaça.
Fluxo de ataque EvilTokensFonte: Sekoia
Dessa forma, o invasor recebe um token de acesso de curta duração e um token de atualização para acesso persistente.
Esses tokens dão ao invasor acesso imediato aos serviços associados à conta da vítima, incluindo e-mail, arquivos, dados do Teams e a capacidade de realizar representação de SSO em serviços Microsoft.
Os pesquisadores da Sekoia examinaram a infraestrutura do EvilTokens e descobriram campanhas com alcance global, sendo os países mais afetados os Estados Unidos, Canadá, França, Austrália, Índia, Suíça e Emirados Árabes Unidos.
Países mais visados pelos operadores EvilTokensFonte: Sekoia
Além do phishing avançado, os pesquisadores da Sekoia dizem que a operação de phishing como serviço (PhaaS) da EvilTokens também fornece "recursos avançados para conduzir ataques BEC [comprometimento de e-mail comercial]" por meio da automação.
A variedade de campanhas sugere que EvilTokens já está sendo usado em grande escala por agentes de ameaças envolvidos em atividades de phishing e comprometimento de e-mail comercial (BEC).
A Sekoia fornece indicadores de comprometimento (IoC), detalhes técnicos e regras YARA para ajudar os defensores a bloquear ataques aproveitando o kit EvilTokens PhaaS.
Pentesting automatizado cobre apenas 1 de 6 superfícies.
O pentesting automatizado prova que o caminho existe. O BAS prova se seus controles o impedem. A maioria das equipes executa uma sem a outra. Este whitepaper mapeia seis superfícies de validação, mostra onde termina a cobertura e fornece aos profissionais três perguntas de diagnóstico para qualquer avaliação de ferramenta.
Obtenha sua cópia agora
#samirnews #samir #news #boletimtec #novo #serviço #eviltokens #alimenta #ataques #de #phishing #de #código #de #dispositivo #da #microsoft
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário