O kit **EvilTokens** integra capacidades de phishing de código de dispositivo, permitindo que atacantes sequestrem contas **Microsoft** e oferece recursos para ataques de comprometimento de e-mail corporativo (BEC). Este kit está sendo vendido para cibercriminosos via **Telegram** e está em desenvolvimento contínuo, com o autor planejando adicionar suporte para páginas de phishing de **Gmail** e **Okta**. ### Phishing de Código de Dispositivo Explicado Os ataques de phishing de código de dispositivo exploram o fluxo de autorização de dispositivo do **OAuth 2.0**. Os atacantes enganam as vítimas para autorizar um dispositivo malicioso, concedendo-lhes acesso à conta da vítima. Essa técnica tem sido utilizada por atores de ameaças como Storm-237, UTA032, UTA0355, UNK_AcademicFlare, TA2723 e o grupo de extorsão de dados **ShinyHunters**. ### Fluxo de Ataque do EvilTokens Pesquisadores da **Sekoia** observaram ataques do **EvilTokens** começando com e-mails contendo documentos maliciosos (PDF, HTML, DOCX, XLSX ou SVG). Esses documentos contêm um código QR ou um hiperlink redirecionando para um modelo de phishing do **EvilTokens**. Esses iscas se passam por conteúdo comercial legítimo, como documentos financeiros, convites de reunião, pedidos de logística ou de compra, avisos de folha de pagamento ou documentos compartilhados via serviços como **DocuSign** ou **SharePoint**. Eles são frequentemente adaptados para funcionários em funções de finanças, RH, logística ou vendas.  Quando uma vítima abre o link, ela é apresentada a uma página de phishing que se passa por um serviço confiável (por exemplo, **Adobe Acrobat** ou **DocuSign**), exibindo um código de verificação e instruções para verificação de identidade. A página solicita que o usuário clique em um botão "Continuar para Microsoft", redirecionando-o para a página legítima de login de dispositivo da **Microsoft**. Nesta etapa, o atacante usa um cliente legítimo (qualquer aplicativo **Microsoft**) para solicitar um código de dispositivo. Em seguida, engana a vítima para autenticar na URL legítima da **Microsoft** controlada pelo atacante.  Isso concede ao atacante um token de acesso de curta duração e um token de atualização, permitindo acesso persistente. Esses tokens fornecem acesso imediato a serviços associados à conta da vítima, incluindo e-mail, arquivos, dados do **Teams** e a capacidade de realizar impersonação SSO em serviços **Microsoft**. ### Impacto Global Pesquisadores da **Sekoia** examinaram a infraestrutura do **EvilTokens** e descobriram campanhas com alcance global, com os Estados Unidos, Canadá, França, Austrália, Índia, Suíça e os Emirados Árabes Unidos sendo os países mais afetados.  Além do phishing avançado, pesquisadores da **Sekoia** relatam que a operação PhaaS **EvilTokens** também oferece "recursos avançados para realizar ataques BEC" por meio de automação. A variedade de campanhas sugere que o **EvilTokens** já está sendo usado em escala por atores de ameaças envolvidos em atividades de phishing e BEC. A **Sekoia** fornece indicadores de comprometimento (IoC), detalhes técnicos e regras YARA para ajudar os defensores a bloquear ataques que utilizam o kit PhaaS **EvilTokens**.