**EvilTokens**キットは、デバイスコードフィッシング機能を統合し、攻撃者が**Microsoft**アカウントを乗っ取れるようにするとともに、ビジネスメール詐欺（BEC）攻撃のための機能を提供します。このキットは**Telegram**を通じてサイバー犯罪者に販売されており、開発者は**Gmail**および**Okta**のフィッシングページへのサポート追加を計画するなど、継続的に開発が進められています。 ### デバイスコードフィッシングとは デバイスコードフィッシング攻撃は、**OAuth 2.0**のデバイス認証フローを悪用します。攻撃者は被害者を騙して悪意のあるデバイスを承認させ、それによって被害者のアカウントへのアクセス権を取得します。この技術は、Storm-237、UTA032、UTA0355、UNK_AcademicFlare、TA2723、そして**ShinyHunters**データ恐喝グループといった脅威アクターによって使用されてきました。 ### EvilTokensの攻撃フロー **Sekoia**の研究者は、**EvilTokens**攻撃が、悪意のあるドキュメント（PDF、HTML、DOCX、XLSX、またはSVG）を含むメールから始まると観察しています。これらのドキュメントには、QRコードまたは**EvilTokens**フィッシングテンプレートにリダイレクトするハイパーリンクが含まれています。 これらの誘い文句は、財務書類、会議の招待状、物流または発注書、給与通知、または**DocuSign**や**SharePoint**などのサービスを介して共有されたドキュメントといった、正規のビジネスコンテンツを装っています。これらはしばしば、財務、人事、物流、または営業部門の従業員を対象としています。  被害者がリンクを開くと、信頼されているサービス（例：**Adobe Acrobat**または**DocuSign**）を装ったフィッシングページが表示され、検証コードと本人確認の手順が表示されます。ページはユーザーに「Microsoftに続行」ボタンをクリックするように促し、正規の**Microsoft**デバイスログインページにリダイレクトします。 この段階で、攻撃者は正規のクライアント（任意の**Microsoft**アプリケーション）を使用してデバイスコードを要求します。その後、被害者を騙して、攻撃者が制御する正規の**Microsoft** URLに認証させます。  これにより、攻撃者は短時間有効なアクセストークンとリフレッシュトークンの両方を取得し、永続的なアクセスを可能にします。これらのトークンは、メール、ファイル、**Teams**データ、および**Microsoft**サービス全体でのSSOなりすましを実行する能力を含む、被害者のアカウントに関連付けられたサービスへの即時アクセスを提供します。 ### グローバルな影響 **Sekoia**の研究者は**EvilTokens**のインフラストラクチャを調査し、米国、カナダ、フランス、オーストラリア、インド、スイス、UAEが最も影響を受けた国として、グローバルなリーチを持つキャンペーンを発見しました。  高度なフィッシングに加えて、**Sekoia**の研究者は、**EvilTokens** PhaaS運用が自動化を通じて「BEC攻撃を実行するための高度な機能」も提供していると報告しています。キャンペーンの多様性は、**EvilTokens**がすでにフィッシングおよびBEC活動に関与する脅威アクターによって大規模に使用されていることを示唆しています。 **Sekoia**は、**EvilTokens** PhaaSキットを利用する攻撃をブロックするのに役立つ、侵害の兆候（IoC）、技術的な詳細、およびYARAルールを提供しています。