🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma nova plataforma de phishing como serviço (PhaaS) chamada "ARToken" parece operar como afiliada da plataforma de phishing EvilTokens, dando aos pesquisadores uma visão de um extenso kit de ferramentas projetado para comprometer o Microsoft 365.
Os pesquisadores do Cisco Talos descobriram a plataforma enquanto investigavam a infraestrutura de phishing usada em um envolvimento de resposta a incidentes e identificaram um painel de gerenciamento baseado em React chamado “ARToken Panel” que expôs mais de 80 endpoints de API.
A engenharia reversa do código JavaScript do lado do cliente revelou recursos anteriormente não documentados que vão muito além do que você normalmente encontraria em uma plataforma de phishing.
A plataforma permite que invasores roubem tokens de autenticação do Microsoft 365, estabeleçam acesso persistente usando tokens de atualização primária (PRTs) e acessem caixas de correio do Outlook, sites do SharePoint e arquivos do OneDrive. Também inclui ferramentas para implantar infraestrutura de phishing por meio de Cloudflare Workers e automatizar muitos aspectos das operações de comprometimento de e-mail comercial (BEC).
De acordo com o relatório do Talos, múltiplas semelhanças técnicas sugerem fortemente que o ARToken está vinculado à plataforma de phishing EvilTokens descoberta no início deste ano.
Os pesquisadores descobriram que o kit de phishing ARToken usa as mesmas chamadas de API para o fluxo de autenticação de código de dispositivo da Microsoft, incluindo uma solicitação `POST /api/device/start` idêntica anteriormente associada a ataques EvilTokens.
A Talos também identificou os mesmos endpoints de API de token de atualização primários documentados na pesquisa EvilTokens da Sekoia, incluindo os endpoints para configurar, atualizar, renovar e readquirir tokens de atualização primários, mesmo depois de expirarem.
A plataforma também usa um modelo de implantação semelhante ao Cloudflare Workers e opera como um serviço de phishing multilocatário, no qual os afiliados gerenciam suas próprias campanhas por meio de espaços de trabalho dedicados.
EvilTokens se concentra fortemente na exploração do fluxo de trabalho de autenticação OAuth 2.0 Device Authorization Grant da Microsoft para violar contas, uma técnica conhecida como phishing de código de dispositivo.
As vítimas são enganadas para inserir um código de dispositivo legítimo emitido pela Microsoft na página oficial de login do dispositivo da Microsoft, fazendo com que a Microsoft emita tokens de autenticação diretamente para o invasor, em vez de para a vítima. Como a vítima se autentica por meio da infraestrutura legítima da Microsoft, os ataques podem contornar com êxito as proteções de autenticação multifatorial.
Formulário de login de autenticação de código de dispositivo da Microsoft
Sekoia documentou pela primeira vez a plataforma EvilTokens em março, descrevendo-a como um serviço comercial de phishing vendido a cibercriminosos por uma taxa de instalação de US$ 1.500 e uma assinatura mensal de US$ 500.
Em um relatório de acompanhamento, a Sekoia encontrou um fluxo de trabalho orientado por IA que ingere caixas de correio coletadas para pontuar a exposição financeira e, em seguida, usa IA e LLMs para redigir campanhas BEC e traduzir e-mails roubados para operadores que trabalham em outros idiomas.
Posteriormente, a Microsoft alertou sobre a plataforma quando os ataques de phishing de código de dispositivo aumentaram dramaticamente e vários agentes de ameaças adotaram a técnica devido à sua alta taxa de sucesso contra usuários do Microsoft 365.
O que diferencia o EvilTokens de outros kits de phishing de código de dispositivo é o uso de IA para automatizar fraudes.
Dentro de uma plataforma de afiliados EvilTokens
O relatório do Talos fornece uma visão geral detalhada da funcionalidade disponível para afiliados EvilTokens após um comprometimento bem-sucedido da conta.
Depois que a vítima conclui o processo de autenticação do código do dispositivo, o ARToken permite que as operadoras atualizem tokens roubados e aumentem o acesso a tokens de atualização primária (PRT) persistentes.
Os pesquisadores também encontraram ferramentas para conduzir ataques de comprometimento de e-mail comercial, incluindo acesso total à caixa de correio do Outlook, a capacidade de enviar e-mails como usuários comprometidos, a capacidade de criar regras de caixa de entrada que encaminham ou ocultam mensagens automaticamente, a capacidade de monitorar várias caixas de correio em busca de palavras-chave simultaneamente e a capacidade de baixar anexos de e-mail.
Os invasores também podem navegar, fazer upload, baixar e gerenciar arquivos armazenados nos sites SharePoint e nas contas OneDrive das vítimas, permitindo o roubo de dados e a entrega de malware para ataques adicionais.
ARToken também revelou vários recursos não identificados em pesquisas anteriores do EvilTokens.
Os agentes de ameaças podem monitorar várias caixas de correio sequestradas simultaneamente em busca de palavras-chave específicas, carregar tokens roubados de outras fontes e compartilhar o acesso a contas comprometidas.
Eles também podem configurar silenciosamente regras de caixa de entrada que ocultam ou excluem mensagens para encobrir seus rastros e usar páginas de phishing que atualizam automaticamente seu conteúdo com base na localização da vítima.
E-mails de phishing ARTokenFonte: Cisco Talos
A Talos também analisou e-mails de phishing associados à plataforma, descobrindo que os invasores se faziam passar por fornecedores legítimos em iscas com tema de fatura visando funcionários de contas a pagar.
Em vez de vincular a um controle obviamente do invasor
Os pesquisadores do Cisco Talos descobriram a plataforma enquanto investigavam a infraestrutura de phishing usada em um envolvimento de resposta a incidentes e identificaram um painel de gerenciamento baseado em React chamado “ARToken Panel” que expôs mais de 80 endpoints de API.
A engenharia reversa do código JavaScript do lado do cliente revelou recursos anteriormente não documentados que vão muito além do que você normalmente encontraria em uma plataforma de phishing.
A plataforma permite que invasores roubem tokens de autenticação do Microsoft 365, estabeleçam acesso persistente usando tokens de atualização primária (PRTs) e acessem caixas de correio do Outlook, sites do SharePoint e arquivos do OneDrive. Também inclui ferramentas para implantar infraestrutura de phishing por meio de Cloudflare Workers e automatizar muitos aspectos das operações de comprometimento de e-mail comercial (BEC).
De acordo com o relatório do Talos, múltiplas semelhanças técnicas sugerem fortemente que o ARToken está vinculado à plataforma de phishing EvilTokens descoberta no início deste ano.
Os pesquisadores descobriram que o kit de phishing ARToken usa as mesmas chamadas de API para o fluxo de autenticação de código de dispositivo da Microsoft, incluindo uma solicitação `POST /api/device/start` idêntica anteriormente associada a ataques EvilTokens.
A Talos também identificou os mesmos endpoints de API de token de atualização primários documentados na pesquisa EvilTokens da Sekoia, incluindo os endpoints para configurar, atualizar, renovar e readquirir tokens de atualização primários, mesmo depois de expirarem.
A plataforma também usa um modelo de implantação semelhante ao Cloudflare Workers e opera como um serviço de phishing multilocatário, no qual os afiliados gerenciam suas próprias campanhas por meio de espaços de trabalho dedicados.
EvilTokens se concentra fortemente na exploração do fluxo de trabalho de autenticação OAuth 2.0 Device Authorization Grant da Microsoft para violar contas, uma técnica conhecida como phishing de código de dispositivo.
As vítimas são enganadas para inserir um código de dispositivo legítimo emitido pela Microsoft na página oficial de login do dispositivo da Microsoft, fazendo com que a Microsoft emita tokens de autenticação diretamente para o invasor, em vez de para a vítima. Como a vítima se autentica por meio da infraestrutura legítima da Microsoft, os ataques podem contornar com êxito as proteções de autenticação multifatorial.
Formulário de login de autenticação de código de dispositivo da Microsoft
Sekoia documentou pela primeira vez a plataforma EvilTokens em março, descrevendo-a como um serviço comercial de phishing vendido a cibercriminosos por uma taxa de instalação de US$ 1.500 e uma assinatura mensal de US$ 500.
Em um relatório de acompanhamento, a Sekoia encontrou um fluxo de trabalho orientado por IA que ingere caixas de correio coletadas para pontuar a exposição financeira e, em seguida, usa IA e LLMs para redigir campanhas BEC e traduzir e-mails roubados para operadores que trabalham em outros idiomas.
Posteriormente, a Microsoft alertou sobre a plataforma quando os ataques de phishing de código de dispositivo aumentaram dramaticamente e vários agentes de ameaças adotaram a técnica devido à sua alta taxa de sucesso contra usuários do Microsoft 365.
O que diferencia o EvilTokens de outros kits de phishing de código de dispositivo é o uso de IA para automatizar fraudes.
Dentro de uma plataforma de afiliados EvilTokens
O relatório do Talos fornece uma visão geral detalhada da funcionalidade disponível para afiliados EvilTokens após um comprometimento bem-sucedido da conta.
Depois que a vítima conclui o processo de autenticação do código do dispositivo, o ARToken permite que as operadoras atualizem tokens roubados e aumentem o acesso a tokens de atualização primária (PRT) persistentes.
Os pesquisadores também encontraram ferramentas para conduzir ataques de comprometimento de e-mail comercial, incluindo acesso total à caixa de correio do Outlook, a capacidade de enviar e-mails como usuários comprometidos, a capacidade de criar regras de caixa de entrada que encaminham ou ocultam mensagens automaticamente, a capacidade de monitorar várias caixas de correio em busca de palavras-chave simultaneamente e a capacidade de baixar anexos de e-mail.
Os invasores também podem navegar, fazer upload, baixar e gerenciar arquivos armazenados nos sites SharePoint e nas contas OneDrive das vítimas, permitindo o roubo de dados e a entrega de malware para ataques adicionais.
ARToken também revelou vários recursos não identificados em pesquisas anteriores do EvilTokens.
Os agentes de ameaças podem monitorar várias caixas de correio sequestradas simultaneamente em busca de palavras-chave específicas, carregar tokens roubados de outras fontes e compartilhar o acesso a contas comprometidas.
Eles também podem configurar silenciosamente regras de caixa de entrada que ocultam ou excluem mensagens para encobrir seus rastros e usar páginas de phishing que atualizam automaticamente seu conteúdo com base na localização da vítima.
E-mails de phishing ARTokenFonte: Cisco Talos
A Talos também analisou e-mails de phishing associados à plataforma, descobrindo que os invasores se faziam passar por fornecedores legítimos em iscas com tema de fatura visando funcionários de contas a pagar.
Em vez de vincular a um controle obviamente do invasor
#samirnews #samir #news #boletimtec #artoken #phaas #expõe #o #kit #de #ferramentas #de #phishing #microsoft #365 #da #eviltokens
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário