Um novo kit malicioso chamado EvilTokens está sendo usado para sequestrar contas da Microsoft sem que os invasores precisem, em nenhum momento, conhecer a senha da vítima. A ameaça foi identificada por pesquisadores da Sekoia, empresa de detecção e resposta a ameaças, e combina técnicas avançadas de phishing com automação para ataques de comprometimento de e-mail corporativo (BEC, na sigla em inglês).O kit é comercializado por Telegram e não exige que o comprador tenha qualquer conhecimento técnico. Seu autor afirma que planeja ampliar o suporte para páginas de phishing voltadas ao Gmail e à plataforma de gestão de identidade Okta.O invasor gera o código de dispositivo, exibe na página falsa, abre um pop-up com a página real da Microsoft e aguarda a vítima se autenticar para, ao final, autorizar o acesso ao dispositivo malicioso. Imagem: Sekoia.O golpe começa com um documento comumAs campanhas do EvilTokens chegam até as vítimas por meio de um e-mail com um anexo. Pode ser um PDF, HTML, DOCX, XLSX ou até um arquivo SVG, qualquer um deles pode conter um código QR ou um link que direciona para uma página de phishing controlada pelos invasores.Ao clicar, a vítima é levada a uma página que se passa por um serviço confiável, como Adobe Acrobat ou DocuSign. A página exibe um código de verificação e instrui o usuário a clicar em "Continuar para a Microsoft" para concluir uma suposta validação de identidade. O redirecionamento final leva para uma URL real da Microsoft, a página oficial de login para dispositivos. É nesse ponto que o golpe acontece de fato.Diagrama oficial da Microsoft que mostra o fluxo de autorização de dispositivos do OAuth 2.0; é esse mecanismo legítimo, criado para smart TVs e consoles, que o EvilTokens abusa para sequestrar contas sem capturar senhas. Imagem: Microsoft.Brecha está no próprio sistema da MicrosoftO EvilTokens explora o fluxo de autorização de dispositivos do protocolo OAuth 2.0. Esse é um mecanismo legítimo criado para permitir que dispositivos sem teclado acessem serviços online. Pode ser usado em smart TVs e consoles, por exemplo. No fluxo original, o usuário acessa um link fornecido pelo dispositivo e insere um código para autorizar o acesso.Na versão maliciosa, quem fornece esse link é o invasor. Ele usa um aplicativo legítimo da Microsoft para gerar um código de dispositivo e, em seguida, induz a vítima a inserir esse código na página oficial. Assim, o atacante recebe um token de acesso de curta duração e um token de atualização para acesso persistente, sem nunca precisar da senha.O kit oferece modelos prontos que se passam por Adobe Acrobat Sign, DocuSign e até pelo Microsoft Defender; a interface simula alertas legítimos para induzir a vítima a inserir o código de dispositivo. Imagem: Sekoia.Com esses tokens em mãos, o invasor passa a ter acesso ao e-mail, aos arquivos, aos dados do Teams. Além da capacidade de se passar pela vítima em qualquer serviço da Microsoft via autenticação única (SSO).Técnica conhecida, escala preocupanteA técnica de phishing por código de dispositivo não é nova. Grupos de ameaça rastreados como Storm-2372, UTA0317, UTA0355 e TA2723 — alguns deles com vínculos atribuídos a operações russas — já foram associados a ataques que utilizam o mesmo método. O grupo de extorsão de dados ShinyHunters também figura na lista.O que diferencia o EvilTokens é a automação e a oferta como serviço. A variedade de campanhas observadas pela Sekoia sugere que o kit já está em uso em larga escala, com alvos identificados nos Estados Unidos, Canadá, França, Austrália, Índia, Suíça e Emirados Árabes Unidos.Páginas de phishing do EvilTokens que imitam notificações do Microsoft Outlook, SharePoint e caixa postal; em todas elas, o código de verificação e o botão "Continue to Microsoft" são os elementos centrais do golpe. Imagem: Sekoia.Como se protegerAtaques desse tipo dependem da interação da vítima para funcionar. Por isso, a conscientização continua sendo a principal linha de defesa.Desconfie de qualquer e-mail que peça para você validar sua identidade clicando em links ou escaneando QR codes, mesmo que o remetente ou a página pareçam confiáveis;Fique atento a solicitações que envolvam códigos de dispositivo da Microsoft, esse fluxo raramente é usado no dia a dia corporativo e pode ser um sinal de alerta.Acompanhe o TecMundo para saber mais sobre o caso. Inscreva-se em nossa newsletter e canal do YouTube para mais notícias de segurança e tecnologia.