Новооткрит фишинг панел, наречен ARToken, предоставя на киберпрестъпниците лесен начин да крадат потребителски сесии за Microsoft 365, без изобщо да се докосват до пароли.

Инструментът злоупотребява с легитимна функция за вход на Microsoft, предназначена за устройства без клавиатура или браузър, като подмамва жертвите да одобрят вход от името на атакуващия. След като това одобрение се случи, атакуващият си тръгва с работещ сесиен токен, без да е необходим код за многофакторна автентификация.

Това, което отличава ARToken, е не просто самата кражба, а последващите действия. Панелът предоставя на престъпните оператори табло с над осемдесет функции, покриващи всичко от обновяване на откраднати токени до четене на цялата входяща поща на жертвата. Той дори предлага инструменти за преглед и изтегляне на файлове от SharePoint и OneDrive, превръщайки един откраднат вход във врата към по-дълбок компрометиране на системата.

Cisco Talos идентифицира панела по време на разследване на фишинг инфраструктура, свързана със случай на реагиране на инциденти, и проследи кода му обратно до работещо табло за управление, което излага целия му инструментариум публично. Панелът споделя обща инфраструктура, кодови модели и идентични бекенд команди с EvilTokens — платформа за фишинг като услуга (Phish-as-a-Service), документирана по-рано тази година и потвърдена от Microsoft като мащабна заплаха.

Атаката обикновено започва с убедителен имейл, имитиращ реален контакт от партньорска фирма. В един от случаите съобщението имитира контакт за плащания от легитимен изпълнител и насочва получателя към линк, който изглежда като оригинален файл в SharePoint за неплатена фактура. Видимият текст на линка сочи към реалния SharePoint на доставчика, но действителната дестинация пренасочва към контролирано от атакуващия работно пространство. Кликването отвежда жертвата до фалшива страница за вход на Microsoft, показваща код на устройството, който жертвата бива помолена да въведе на истинската страница microsoft.com/devicelogin.

Преди това да се случи, фишинг комплектът изпълнява седемслоен процес на проверка, за да филтрира скенери за сигурност и ботове. Откраднатият токен е само началото — ARToken може да ескалира този достъп до първичен токен за опресняване (PRT), който продължава да работи дори след като жертвата смени паролата си.

Екипите по сигурността трябва да се отнасят с подозрение към неочаквани подкани за въвеждане на код за устройство и да потвърждават необичайни заявки за фактури по алтернативни канали.