Le kit **EvilTokens** intègre des capacités de phishing par code d'appareil, permettant aux attaquants de pirater les comptes **Microsoft** et offre des fonctionnalités pour les attaques de compromission de la messagerie professionnelle (BEC). Ce kit est vendu aux cybercriminels via **Telegram** et est en développement continu, l'auteur prévoyant d'ajouter la prise en charge des pages de phishing **Gmail** et **Okta**. ### Phishing par code d'appareil expliqué Les attaques de phishing par code d'appareil exploitent le flux d'autorisation d'appareil **OAuth 2.0**. Les attaquants trompent les victimes pour qu'elles autorisent un appareil malveillant, leur accordant ainsi l'accès au compte de la victime. Cette technique a été utilisée par des acteurs de la menace tels que Storm-237, UTA032, UTA0355, UNK_AcademicFlare, TA2723 et le groupe d'extorsion de données **ShinyHunters**. ### Flux d'attaque EvilTokens Les chercheurs de **Sekoia** ont observé que les attaques **EvilTokens** commencent par des e-mails contenant des documents malveillants (PDF, HTML, DOCX, XLSX ou SVG). Ces documents contiennent soit un code QR, soit un hyperlien redirigeant vers un modèle de phishing **EvilTokens**. Ces leurres usurpent l'identité de contenus professionnels légitimes tels que des documents financiers, des invitations à des réunges, des ordres de logistique ou d'achat, des avis de paie, ou des documents partagés via des services comme **DocuSign** ou **SharePoint**. Ils sont souvent adaptés aux employés des services financiers, des RH, de la logistique ou des ventes.  Lorsqu'une victime ouvre le lien, elle est confrontée à une page de phishing usurpant l'identité d'un service de confiance (par exemple, **Adobe Acrobat** ou **DocuSign**), affichant un code de vérification et des instructions pour la vérification d'identité. La page invite l'utilisateur à cliquer sur un bouton « Continuer vers Microsoft », le redirigeant vers la page de connexion d'appareil légitime de **Microsoft**. À ce stade, l'attaquant utilise un client légitime (toute application **Microsoft**) pour demander un code d'appareil. Il trompe ensuite la victime pour qu'elle s'authentifie sur l'URL légitime de **Microsoft** contrôlée par l'attaquant.  Cela accorde à l'attaquant un jeton d'accès à courte durée de vie ainsi qu'un jeton de rafraîchissement, permettant un accès persistant. Ces jetons fournissent un accès immédiat aux services associés au compte de la victime, y compris l'e-mail, les fichiers, les données **Teams**, et la capacité d'effectuer une usurpation d'identité SSO sur les services **Microsoft**. ### Impact mondial Les chercheurs de **Sekoia** ont examiné l'infrastructure d'**EvilTokens** et ont découvert des campagnes d'une portée mondiale, les États-Unis, le Canada, la France, l'Australie, l'Inde, la Suisse et les Émirats arabes unis étant les pays les plus touchés.  En plus du phishing avancé, les chercheurs de **Sekoia** rapportent que l'opération PhaaS **EvilTokens** offre également des « fonctionnalités avancées pour mener des attaques BEC » grâce à l'automatisation. La variété des campagnes suggère qu'**EvilTokens** est déjà utilisé à grande échelle par les acteurs de la menace impliqués dans des activités de phishing et de BEC. **Sekoia** fournit des indicateurs de compromission (IoC), des détails techniques et des règles YARA pour aider les défenseurs à bloquer les attaques exploitant le kit PhaaS **EvilTokens**.