Een nieuwe kwaadaardige toolkit genaamd EvilTokens biedt hackers de mogelijkheid om Microsoft-accounts te kapen met geavanceerde functies voor zakelijke e-mailcompromittering.

Deze set wordt verkocht via Telegram aan cybercriminelen en wordt continu doorontwikkeld. De maker heeft aangegeven plannen te hebben om ook ondersteuning voor Gmail- en Okta-phishingpagina’s toe te voegen.

Bij deze aanvallen maken criminelen misbruik van de OAuth 2.0-apparaatautorisatiestroom. Ze verkrijgen toegang tot een slachtofferaccount door de eigenaar te misleiden om een kwaadaardig apparaat toestemming te geven.

Hoewel de techniek goed gedocumenteerd is, wordt deze door verschillende dreigingsgroepen gebruikt, waaronder Russische groepen als Storm-237 en ShinyHunters.

### EvilTokens-aanvallen

Onderzoekers van het dreigingsdetectiebedrijf Sekoia zagen aanvallen waarbij slachtoffers e-mails ontvingen met documenten (zoals PDF’s of DOCX-bestanden) die een QR-code of hyperlink naar een EvilTokens-phishingtemplate bevatten.

Deze lokmiddelen bootsen legitieme zakelijke content na zoals financiële documenten, vergaderuitnodigingen, inkooporders of gedeelde documenten, vaak gericht op werknemers in financiën, HR, logistiek of verkoop.

Wanneer het slachtoffer de link opent, verschijnt een phishingpagina die een vertrouwde dienst nabootst, zoals Adobe Acrobat. Hier wordt een verificatiecode getoond met verdere instructies.

De gebruiker wordt gevraagd om op “Doorgaan naar Microsoft” te klikken, wat hen naar de echte Microsoft-apparaatinlogpagina leidt.

Op dat moment vraagt de aanvaller via een legitieme client om een apparaatcode. Het slachtoffer wordt dan misleid om in te loggen via de echte Microsoft-URL, maar gecontroleerd door de dreigingsactor.

Op deze manier ontvangt de aanvaller zowel een kortlevend toegangstoken als een ververstoken voor constant toegang.

Deze tokens geven de aanvaller directe toegang tot de diensten van het slachtofferaccount, zoals e-mail, bestanden en Teams-gegevens, en maken SSO-simulatie mogelijk binnen Microsoft-diensten.

De onderzoekers ontdekten dat EvilTokens campagnes heeft met wereldwijde impact, waarbij vooral de VS, Canada, Frankrijk, Australië, India, Zwitserland en de VAE getroffen zijn.

Naast geavanceerde phishing biedt de EvilTokens-dienst ook “geavanceerde functies voor BEC-aanvallen” door middel van automatisering.

De diversiteit aan campagnes suggereert dat EvilTokens al op grote schaal wordt ingezet door dreigingsactoren voor phishing en BEC.

Sekoia biedt indicatoren van compromittering, technische details en YARA-regels om verdedigers te helpen bij het blokkeren van aanvallen die gebruikmaken van het EvilTokens-pakket.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.