Новая фишинговая платформа ARToken оказалась ответвлением опасного сервиса EvilTokens и угрожает корпоративным клиентам Microsoft 365
Новая фишинговая платформа ARToken оказалась ответвлением опасного сервиса EvilTokens и угрожает корпоративным клиентам Microsoft 365. Фото: из архива Cisco Talos
Все указывает на то, что этот сервис является прямым ответвлением печально известной платформы EvilTokens, о которой впервые заговорили в марте этого года. В ходе расследования фишинговой инфраструктуры эксперты выявили панель управления на основе React с более чем восемьюдесятью конечными точками API, а обратное проектирование клиентского кода раскрыло возможности, далеко выходящие за рамки типичных фишинговых наборов, включая кражу токенов аутентификации, установку постоянного доступа через токены первичного обновления и полный контроль над почтовыми ящиками Outlook, сайтами SharePoint и файлами OneDrive.
Ключевая техника, которую использует ARToken, — это фишинг с использованием кода устройства, где жертву обманом заставляют ввести легитимный код от Microsoft на официальной странице входа, после чего система выдает токены непосредственно злоумышленнику, что позволяет обходить многофакторную аутентификацию, поскольку жертва проходит проверку через настоящую инфраструктуру Microsoft.
Многочисленные технические сходства с EvilTokens не оставляют сомнений в их связи — платформы используют идентичные вызовы API для аутентификации устройств, одинаковые интерфейсы для обновления и продления токенов даже после истечения их срока, а также аналогичную модель развертывания через Cloudflare Workers с многопользовательской архитектурой, где партнеры управляют собственными кампаниями через выделенные рабочие пространства.
Особую опасность представляет автоматизация на базе искусственного интеллекта, которая не только обрабатывает собранные почтовые ящики для оценки финансового риска жертвы, но и самостоятельно составляет убедительные письма для компрометации корпоративной электронной почты, а также переводит украденные сообщения для операторов, говорящих на других языках, что делает атаки масштабируемыми и труднораспознаваемыми.
В арсенале ARToken есть инструменты для одновременного мониторинга нескольких взломанных ящиков по ключевым словам, незаметного создания правил пересылки или удаления входящих сообщений, загрузки токенов из других источников и предоставления доступа к скомпрометированным учетным записям, причем фишинговые страницы могут автоматически адаптировать свой контент под географическое положение жертвы, а сами письма мастерски имитируют счета-фактуры от легитимных поставщиков с поддельными ссылками на SharePoint.
Ранее в этом году Microsoft уже предупреждала о резком росте числа атак с использованием кода устройства, и по данным Push Security, за последние двенадцать месяцев количество таких инцидентов выросло в 37 раз, а как минимум одиннадцать фишинговых наборов теперь предлагают эту технику киберпреступникам, при этом EvilTokens продавался за 1,5 тыс. $ за подключение и 500 $ ежемесячной подписки, что делает его доступным оружием для массовых атак на корпоративный сектор.
Упомянутый сервис
Комментариев пока не было