Новая кампания Phishing-as-a-Service (PhaaS) использует поток аутентификации по коду устройства Microsoft для получения несанкционированного доступа к учетным записям пользователей.
Исследователи Sekoia впервые обнаружили инструментарий «EvilTokens», который позволяет злоумышленникам захватывать токены аутентификации, обманом заставляя пользователей проходить легитимный процесс входа в собственной среде Microsoft.
Активность, наблюдаемая как минимум с середины февраля, основана на методах социальной инженерии, которые побуждают жертв вводить код устройства на реальной странице входа Microsoft, отметили исследователи Sekoia в своем блоге. «Для компрометации учетных записей Microsoft 365 страницы EvilTokens полагаются на фишинг с использованием кода устройства — технику, которая отличается от распространенной тактики AitM (Adversary-in-the-Middle) по репликации страниц аутентификации Microsoft», — заявили исследователи.
Инструментарий PhaaS предлагает аффилиатам ряд функций, включая модули для использования доступа, сбора электронной почты, возможностей разведки и встроенный веб-интерфейс для веб-почты, работающие на базе автоматизации с использованием ИИ, добавили исследователи.
Было обнаружено, что EvilTokens действует через ботов в Telegram, с выделенным каналом для обновлений комплекта. На данный момент кампания в основном затронула такие страны, как США, Австралия, Канада, Франция, Индия, Швейцария и ОАЭ.
Аутентификация по коду устройства как брокер доступа
Кампания сосредоточена на злоупотреблении потоком предоставления авторизации устройства Microsoft — функцией, предназначенной для упрощения входа для таких устройств, как смарт-телевизоры или инструменты командной строки. EvilTokens перепрофилирует этот рабочий процесс, генерируя легитимный код устройства, а затем обманом заставляя жертв вводить его самостоятельно на официальной странице входа.
После того как жертва завершает аутентификацию, злоумышленник получает токены доступа, связанные с сеансом. Эти токены затем могут быть использованы для доступа к службам Microsoft 365, включая электронную почту и облачные ресурсы, без срабатывания обычных оповещений, основанных на учетных данных.
Исследователи Sekoia отметили, что эта техника позволяет обойти многие традиционные методы обнаружения фишинга. Поскольку аутентификация происходит на легитимном домене Microsoft, перехват учетных данных при передаче отсутствует, а многофакторная аутентификация завершается так же, как и при обычном входе.
Атака приводит к захвату учетной записи, исходящему от, казалось бы, ожидаемого поведения пользователя.
Фишинговый пакет с фокусом на пост-компрометацию
Помимо первоначального вектора доступа, EvilTokens структурирован как полносервисная фишинговая платформа. Комплект предоставляет аффилиатам готовые приманки, инфраструктуру и инструменты автоматизации, предназначенные для осуществления как фишинговой фазы, так и действий после компрометации.
Приманки, используемые в кампании, включают поддельные уведомления о документах SharePoint, запросы DocuSign и оповещения об учетных записях — все это направлено на то, чтобы побудить пользователей вводить коды устройств. После получения доступа платформа позволяет анализировать почтовый ящик, давая злоумышленникам возможность выявлять ценные цели, такие как финансовые переписки или цепочки счетов-фактур.
«Используя краткосрочный токен доступа, злоумышленник может эксфильтровать целевые пользовательские данные в течение 60 минут после фишинговой атаки с кодом устройства», — заявили они. «В зависимости от целевой службы злоумышленник может получить доступ к электронной почте через Exchange Online, документам из Microsoft SharePoint Online и OneDrive или истории переписки в Microsoft Teams». Полученные токены со сроком действия 60 минут также могут быть использованы для генерации новых токенов доступа со сроком действия 90 дней, что позволяет злоумышленникам сохранять постоянство в скомпрометированной учетной записи.
Сервис PhaaS, распространяемый через каналы Telegram, включает рабочие процессы, управляемые ботами, для управления кампаниями и сбора токенов. Исследователи также наблюдали текущие усилия по разработке с указанием на то, что может быть добавлена поддержка дополнительных платформ помимо Microsoft.
Sekoia поделилась набором данных об инфраструктуре атак для поддержки отслеживания. К ним относятся шаблоны фишинговых доменов и URL-адресов, домены аффилиатов, размещенные на собственных серверах, административные домены EvilTokens и правило YARA для обнаружения фишинговой страницы.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma
