La boîte à outils phishing-as-a-service exploite l’authentification légitime pour capturer les jetons et accéder aux services Microsoft 365.
Une nouvelle campagne de phishing en tant que service (PhaaS) abuse du flux d’authentification par code d’appareil de Microsoft pour obtenir un accès non autorisé aux comptes d’utilisateurs.
Les chercheurs de Sekoia ont repéré pour la première fois la boîte à outils « EvilTokens » qui permet aux attaquants de capturer des jetons d’authentification en incitant les utilisateurs à effectuer un processus de connexion légitime dans le propre environnement de Microsoft.
Cette activité, observée depuis au moins la mi-février, repose sur des leurres d’ingénierie sociale qui incitent les victimes à saisir le code de leur appareil sur une véritable page de connexion Microsoft, ont noté les chercheurs de Sekoia dans un article de blog. « Pour compromettre les comptes Microsoft 365, les pages EvilTokens s’appuient sur le phishing par code d’appareil, une technique qui diffère de la tactique courante d’AitM consistant à répliquer les pages d’authentification Microsoft », ont déclaré les chercheurs.
La boîte à outils PhaaS offre une multitude de fonctionnalités à ses affiliés, notamment des modules de militarisation des accès, de collecte d’e-mails, de capacités de reconnaissance et une interface de messagerie Web intégrée, le tout alimenté par l’automatisation de l’IA, ont ajouté les chercheurs.
EvilTokens a été découvert via des robots sur Telegram, avec un canal dédié aux mises à niveau des kits. Jusqu’à présent, la campagne a principalement touché des pays, notamment les États-Unis, l’Australie, le Canada, la France, l’Inde, la Suisse et les Émirats arabes unis.
Authentification du code de l’appareil en tant que courtier d’accès
La campagne est centrée sur l’abus du flux d’autorisation d’appareil de Microsoft, une fonctionnalité conçue pour simplifier les connexions pour des appareils tels que les téléviseurs intelligents ou les outils de ligne de commande. EvilTokens réutilise ce flux de travail en générant un code d’appareil légitime, puis en incitant les victimes à le saisir elles-mêmes sur la page de connexion officielle.
Une fois l’authentification de la victime terminée, l’attaquant reçoit des jetons d’accès liés à la session. Ces jetons peuvent ensuite être utilisés pour accéder aux services Microsoft 365, y compris les ressources de messagerie et cloud, sans déclencher d’alertes typiques basées sur les informations d’identification.
Les chercheurs de Sekoia ont noté que cette technique contourne de nombreuses détections de phishing conventionnelles. Étant donné que l’authentification s’effectue sur un domaine Microsoft légitime, il n’y a pas d’interception des informations d’identification en cours de transit et l’authentification multifacteur est effectuée comme cela se produit dans un flux de connexion normal.
L’attaque se traduit par une forme de piratage de compte résultant d’un comportement apparemment attendu de l’utilisateur.
Un package de phishing axé sur l’après-compromission
Au-delà du vecteur d’accès initial, EvilTokens est structuré comme une plateforme de phishing à service complet. Le kit fournit aux affiliés des leurres, une infrastructure et des outils d’automatisation prêts à l’emploi, conçus pour mener à bien la phase de phishing et les activités post-compromission.
Les leurres utilisés dans la campagne incluent de fausses notifications de documents SharePoint, des demandes DocuSign et des alertes de compte, toutes destinées à inciter les utilisateurs à saisir les codes de leurs appareils. Une fois l’accès obtenu, la plateforme permet une analyse de la boîte de réception, permettant aux attaquants d’identifier des cibles de grande valeur telles que des conversations financières ou des fils de facturation.
« En exploitant le jeton d’accès de courte durée, l’attaquant peut exfiltrer les données des utilisateurs ciblés jusqu’à 60 minutes après l’attaque de phishing du code de l’appareil », ont-ils déclaré. « En fonction du service ciblé, l’attaquant peut accéder aux e-mails via Exchange Online, aux documents de Microsoft SharePoint Online et OneDrive, ou à l’historique des conversations dans Microsoft Teams. » Les jetons reçus avec une expiration de 60 minutes peuvent également être échangés pour générer de nouveaux jetons d’accès, avec une validité continue de 90 jours, permettant aux attaquants de maintenir la persistance sur le compte compromis.
Distribué via les canaux Telegram, le service PhaaS comprend des flux de travail pilotés par des robots pour gérer les campagnes et la collecte de jetons. Les chercheurs ont également observé des efforts de développement en cours, avec des indications selon lesquelles la prise en charge de plates-formes supplémentaires au-delà de Microsoft pourrait être introduite.
Sekoia a partagé un ensemble de détails sur l’infrastructure d’attaque pour prendre en charge le suivi. Ceux-ci incluent les modèles de domaine et d’URL de phishing, les domaines affiliés auto-hébergés, les domaines d’administration EvilTokens et la règle YARA pour détecter la page de phishing.
