Das **EvilTokens**-Kit integriert Device-Code-Phishing-Funktionen, die es Angreifern ermöglichen, **Microsoft**-Konten zu kapern, und bietet Funktionen für Business Email Compromise (BEC)-Angriffe. Dieses Kit wird über **Telegram** an Cyberkriminelle verkauft und befindet sich in ständiger Weiterentwicklung, wobei der Autor plant, Unterstützung für **Gmail**- und **Okta**-Phishing-Seiten hinzuzufügen. ### Device-Code-Phishing erklärt Device-Code-Phishing-Angriffe nutzen den **OAuth 2.0**-Flow zur Geräteautorisierung aus. Angreifer bringen Opfer dazu, ein bösartiges Gerät zu autorisieren, wodurch sie Zugriff auf das Konto des Opfers erhalten. Diese Technik wurde von Bedrohungsakteuren wie Storm-237, UTA032, UTA0355, UNK_AcademicFlare, TA2723 und der **ShinyHunters**-Datenerpressungsgruppe eingesetzt. ### EvilTokens-Angriffsfluss Forscher von **Sekoia** beobachteten, dass **EvilTokens**-Angriffe mit E-Mails beginnen, die bösartige Dokumente (PDF, HTML, DOCX, XLSX oder SVG) enthalten. Diese Dokumente enthalten entweder einen QR-Code oder einen Hyperlink, der zu einer **EvilTokens**-Phishing-Vorlage weiterleitet. Diese Köder imitieren legitime Geschäftsinhalte wie Finanzdokumente, Termineinladungen, Logistik- oder Bestellungen, Gehaltsabrechnungen oder freigegebene Dokumente über Dienste wie **DocuSign** oder **SharePoint**. Sie sind oft auf Mitarbeiter in den Bereichen Finanzen, Personalwesen, Logistik oder Vertrieb zugeschnitten.  Wenn ein Opfer den Link öffnet, wird es mit einer Phishing-Seite konfrontiert, die einen vertrauenswürdigen Dienst (z. B. **Adobe Acrobat** oder **DocuSign**) imitiert und einen Verifizierungscode sowie Anweisungen zur Identitätsprüfung anzeigt. Die Seite fordert den Benutzer auf, auf eine Schaltfläche „Weiter zu Microsoft“ zu klicken, die ihn zur legitimen **Microsoft**-Geräteanmeldeseite weiterleitet. In diesem Stadium verwendet der Angreifer einen legitimen Client (jede **Microsoft**-Anwendung), um einen Gerätecode anzufordern. Anschließend bringt er das Opfer dazu, sich bei der legitimen **Microsoft**-URL zu authentifizieren, die vom Angreifer kontrolliert wird.  Dies gewährt dem Angreifer sowohl ein kurzlebiges Zugriffstoken als auch ein Aktualisierungstoken, was einen persistenten Zugriff ermöglicht. Diese Tokens bieten sofortigen Zugriff auf Dienste, die mit dem Konto des Opfers verknüpft sind, einschließlich E-Mail, Dateien, **Teams**-Daten und die Möglichkeit, die SSO-Identität über **Microsoft**-Dienste hinweg zu übernehmen. ### Globale Auswirkungen **Sekoia**-Forscher untersuchten die Infrastruktur von **EvilTokens** und deckten Kampagnen mit globaler Reichweite auf, wobei die Vereinigten Staaten, Kanada, Frankreich, Australien, Indien, die Schweiz und die Vereinigten Arabischen Emirate die am stärksten betroffenen Länder waren.  Zusätzlich zu fortschrittlichem Phishing berichten **Sekoia**-Forscher, dass die **EvilTokens** PhaaS-Operation auch „erweiterte Funktionen zur Durchführung von BEC-Angriffen“ durch Automatisierung bietet. Die Vielfalt der Kampagnen deutet darauf hin, dass **EvilTokens** bereits in großem Umfang von Bedrohungsakteuren eingesetzt wird, die an Phishing- und BEC-Aktivitäten beteiligt sind. **Sekoia** stellt Indicators of Compromise (IoC), technische Details und YARA-Regeln zur Verfügung, um Verteidiger bei der Blockierung von Angriffen zu unterstützen, die das **EvilTokens** PhaaS-Kit nutzen.