El kit **EvilTokens** integra capacidades de phishing de códigos de dispositivo, permitiendo a los atacantes secuestrar cuentas de **Microsoft** y ofrece funciones para ataques de compromiso de correo electrónico empresarial (BEC). Este kit se vende a ciberdelincuentes a través de **Telegram** y está en desarrollo continuo, con planes del autor para agregar soporte para páginas de phishing de **Gmail** y **Okta**. ### Phishing de Códigos de Dispositivo Explicado Los ataques de phishing de códigos de dispositivo explotan el flujo de autorización de dispositivos de **OAuth 2.0**. Los atacantes engañan a las víctimas para que autoricen un dispositivo malicioso, otorgándoles acceso a la cuenta de la víctima. Esta técnica ha sido utilizada por actores de amenazas como Storm-237, UTA032, UTA0355, UNK_AcademicFlare, TA2723 y el grupo de extorsión de datos **ShinyHunters**. ### Flujo de Ataque de EvilTokens Investigadores de **Sekoia** observaron que los ataques de **EvilTokens** comienzan con correos electrónicos que contienen documentos maliciosos (PDF, HTML, DOCX, XLSX o SVG). Estos documentos contienen un código QR o un hipervínculo que redirige a una plantilla de phishing de **EvilTokens**. Estos señuelos imitan contenido empresarial legítimo, como documentos financieros, invitaciones a reuniones, órdenes de logística o de compra, avisos de nómina o documentos compartidos a través de servicios como **DocuSign** o **SharePoint**. A menudo se adaptan a empleados en roles de finanzas, recursos humanos, logística o ventas.  Cuando una víctima abre el enlace, se le presenta una página de phishing que imita un servicio de confianza (por ejemplo, **Adobe Acrobat** o **DocuSign**), mostrando un código de verificación e instrucciones para la verificación de identidad. La página solicita al usuario que haga clic en un botón "Continuar a Microsoft", redirigiéndolos a la página de inicio de sesión de dispositivo legítima de **Microsoft**. En esta etapa, el atacante utiliza un cliente legítimo (cualquier aplicación de **Microsoft**) para solicitar un código de dispositivo. Luego, engañan a la víctima para que se autentique en la URL legítima de **Microsoft** controlada por el atacante.  Esto otorga al atacante tanto un token de acceso de corta duración como un token de actualización, lo que permite un acceso persistente. Estos tokens proporcionan acceso inmediato a los servicios asociados con la cuenta de la víctima, incluido el correo electrónico, archivos, datos de **Teams** y la capacidad de realizar suplantación de identidad SSO en los servicios de **Microsoft**. ### Impacto Global Los investigadores de **Sekoia** examinaron la infraestructura de **EvilTokens** y descubrieron campañas con alcance global, siendo Estados Unidos, Canadá, Francia, Australia, India, Suiza y los Emiratos Árabes Unidos los países más afectados.  Además del phishing avanzado, los investigadores de **Sekoia** informan que la operación PhaaS **EvilTokens** también ofrece "funciones avanzadas para realizar ataques BEC" a través de la automatización. La variedad de campañas sugiere que **EvilTokens** ya está siendo utilizado a gran escala por actores de amenazas involucrados en actividades de phishing y BEC. **Sekoia** proporciona indicadores de compromiso (IoC), detalles técnicos y reglas YARA para ayudar a los defensores a bloquear ataques que aprovechan el kit PhaaS **EvilTokens**.