EvilTokens: фишинг обходит MFA и ворует токены Microsoft 365
Кампания EvilTokens демонстрирует заметную эволюцию фишинговых тактик. По данным отчета, злоумышленники действуют по модели Phishing as a Service (PhaaS) и целенаправленно атакуют пользователей Microsoft 365, сочетая социальную инженерию, подмену доверенных брендов и инфраструктуру, рассчитанную на быстрое масштабирование атак.
Особую опасность этой кампании придает использование device code phishing — техники, при которой жертву подводят к вводу кода устройства на легитимной странице Microsoft. В результате пользователь фактически сам подтверждает вход злоумышленника, не осознавая, что выдает доступ к своей учетной записи.
Как работает схема атаки
По отчету, EvilTokens маскируется под знакомые и доверенные сервисы, включая DocuSign и Adobe. Это повышает вероятность того, что пользователь откроет ссылку и пройдет по цепочке, подготовленной атакующими.
Для доставки вредоносного трафика кампания использует временную инфраструктуру Cloudflare Workers. Такой подход помогает обойти стандартные меры защиты и делает менее эффективными традиционные методы статического blacklisting.
- использование доверенных брендов для маскировки;
- применение Cloudflare Workers для скрытия инфраструктуры;
- сокрытие конечной фишинговой страницы от статических средств блокировки;
- вовлечение пользователя в одобрение устройства через legitimate Microsoft page.
Обход пароля и MFA
Ключевая особенность EvilTokens — способность обходить как парольную защиту, так и MFA. Согласно отчету, злоумышленники используют легитимную страницу Microsoft для device approval, заставляя жертву неосознанно одобрить вредоносное устройство.
Это особенно тревожно, поскольку атака позволяет получить доступ не на один сеанс, а через refreshed tokens, которые обеспечивают постоянное присутствие в системе. Даже если пользователь сбрасывает пароль, действительный токен обновления может сохранить доступ атакующего.
«Этот подход особенно опасен, поскольку обеспечивает постоянный доступ, сохраняющийся даже после сброса пароля», — следует из содержания отчета.
Почему мобильные устройства стали приоритетной целью
Отчет указывает, что кампания усиливает воздействие за счет фокуса на мобильных устройствах. Именно они все чаще используются для открытия фишинговых ссылок, а значит, становятся удобной точкой входа для атакующих.
Авторы исследования подчеркивают: мобильные устройства обычно располагают более слабыми средствами защиты конечных точек, чем корпоративные рабочие станции. Это делает их особенно уязвимыми для подобных сценариев, в которых пользователь действует быстро и без должной проверки источника.
Как реагируют средства защиты
В отчете отмечается, что Zimperium Mobile Threat Defense (MTD) эффективно обнаруживает и блокирует вредоносные URL, связанные с EvilTokens, непосредственно на уровне мобильного устройства. Такая превентивная мера не позволяет пользователю дойти до критической стадии атаки, когда требуется ввод device code.
Этот подход важен именно потому, что блокировка происходит до момента компрометации учетной записи, а не после нее, когда ущерб уже может быть нанесен.
Новые домены и IOC
Исследование также выявило множество новых доменов, связанных с набором для фишинга EvilTokens. Это указывает на более широкую кампанию и, вероятно, на продолжающееся расширение инфраструктуры злоумышленников.
С соответствующими Indicators of Compromise (IOCs) можно работать для дальнейшего расследования. Публичная доступность этих данных дает организациям возможность:
- добавить домены в средства обнаружения и блокировки;
- проверить собственную телеметрию на признаки компрометации;
- усилить контроль над попытками device code phishing;
- пересмотреть защиту мобильных устройств и политики доступа.
Что это означает для организаций
EvilTokens показывает, как фишинг эволюционирует от примитивных писем с вредоносными ссылками к многоступенчатым атакам, которые эксплуатируют доверие к брендам, особенности MFA и слабые места мобильной среды. В таких условиях организациям важно учитывать не только почтовую безопасность, но и защиту мобильного канала, мониторинг доменов и поведенческое обнаружение.
Отчет фактически фиксирует новую реальность: злоумышленникам больше не нужно взламывать пароль, если они могут убедить пользователя собственными руками подтвердить доступ.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



