Новая фишинговая платформа ARToken оказалась ответвлением опасного сервиса EvilTokens и угрожает корпоративным клиентам Microsoft 365

Исследователи Cisco Talos обнаружили ранее неизвестную платформу для фишинга как услуги под названием ARToken, которая предоставляет злоумышленникам пугающий набор инструментов для взлома учётных записей Microsoft 365.
Новая фишинговая платформа ARToken оказалась ответвлением опасного сервиса EvilTokens и угрожает корпоративным клиентам Microsoft 365

Новая фишинговая платформа ARToken оказалась ответвлением опасного сервиса EvilTokens и угрожает корпоративным клиентам Microsoft 365. Фото: из архива Cisco Talos

Все указывает на то, что этот сервис является прямым ответвлением печально известной платформы EvilTokens, о которой впервые заговорили в марте этого года. В ходе расследования фишинговой инфраструктуры эксперты выявили панель управления на основе React с более чем восемьюдесятью конечными точками API, а обратное проектирование клиентского кода раскрыло возможности, далеко выходящие за рамки типичных фишинговых наборов, включая кражу токенов аутентификации, установку постоянного доступа через токены первичного обновления и полный контроль над почтовыми ящиками Outlook, сайтами SharePoint и файлами OneDrive.

Ключевая техника, которую использует ARToken, — это фишинг с использованием кода устройства, где жертву обманом заставляют ввести легитимный код от Microsoft на официальной странице входа, после чего система выдает токены непосредственно злоумышленнику, что позволяет обходить многофакторную аутентификацию, поскольку жертва проходит проверку через настоящую инфраструктуру Microsoft.

Многочисленные технические сходства с EvilTokens не оставляют сомнений в их связи — платформы используют идентичные вызовы API для аутентификации устройств, одинаковые интерфейсы для обновления и продления токенов даже после истечения их срока, а также аналогичную модель развертывания через Cloudflare Workers с многопользовательской архитектурой, где партнеры управляют собственными кампаниями через выделенные рабочие пространства.

Особую опасность представляет автоматизация на базе искусственного интеллекта, которая не только обрабатывает собранные почтовые ящики для оценки финансового риска жертвы, но и самостоятельно составляет убедительные письма для компрометации корпоративной электронной почты, а также переводит украденные сообщения для операторов, говорящих на других языках, что делает атаки масштабируемыми и труднораспознаваемыми.

В арсенале ARToken есть инструменты для одновременного мониторинга нескольких взломанных ящиков по ключевым словам, незаметного создания правил пересылки или удаления входящих сообщений, загрузки токенов из других источников и предоставления доступа к скомпрометированным учетным записям, причем фишинговые страницы могут автоматически адаптировать свой контент под географическое положение жертвы, а сами письма мастерски имитируют счета-фактуры от легитимных поставщиков с поддельными ссылками на SharePoint.

Ранее в этом году Microsoft уже предупреждала о резком росте числа атак с использованием кода устройства, и по данным Push Security, за последние двенадцать месяцев количество таких инцидентов выросло в 37 раз, а как минимум одиннадцать фишинговых наборов теперь предлагают эту технику киберпреступникам, при этом EvilTokens продавался за 1,5 тыс. $ за подключение и 500 $ ежемесячной подписки, что делает его доступным оружием для массовых атак на корпоративный сектор.        

Упомянутый сервис
Microsoft 365 Облачная служба с набором офисных веб-инструментов. В ней доступны электронная почта, документы, контакты, календарь и Office Web Apps (Word, Excel и PowerPoint).
Облачная служба с набором офисных веб-инструментов. В ней доступны электронная почта, документы, контакты, календарь и Office Web Apps (Word, Excel и PowerPoint).

Актуальное

NASA и Red Hat создают автономного ИИ-врача для астронавтов: система CMO-DA работает без связи с Землёй
Alibaba ввела полный запрет на использование Claude на фоне обвинений в шпионаже и краже технологий
Контакты Outlook на iOS станут общесистемными: интеграция с Телефоном, Сообщениями и Siri запланирована на январь 2027 года
Ещё…

Популярные теги