Нова платформа за фишинг като услуга (PhaaS), наречена ARToken, изглежда работи като филиал на фишинг платформата EvilTokens, предоставяйки на изследователите поглед върху обширен инструментариум, предназначен за компрометиране на Microsoft 365.

Изследователи от Cisco Talos откриха платформата по време на разследване на фишинг инфраструктура и идентифицираха панел за управление, базиран на React, наречен "ARToken Panel", който излага повече от 80 API крайнa точки. Обратното инженерство на JavaScript кода разкри неописани досега възможности, които надхвърлят стандартните фишинг инструменти.

Платформата позволява на нападателите да крадат токени за удостоверяване на Microsoft 365, да установяват постоянен достъп чрез първични опреснителни токени (PRT) и да осъществяват достъп до Outlook пощенски кутии, сайтове на SharePoint и файлове в OneDrive. Тя включва и инструменти за внедряване на фишинг инфраструктура чрез Cloudflare Workers и автоматизиране на BEC (компрометиране на служебна поща) операции.

Изследователите откриха, че фишинг комплектът на ARToken използва същите API повиквания за процеса на удостоверяване на устройства на Microsoft, включително идентична заявка POST /api/device/start, свързана преди това с атаки на EvilTokens. Платформата работи като услуга с множество наематели (multi-tenant), където филиалите управляват собствени кампании чрез специални работни пространства.

EvilTokens се фокусира сериозно върху експлоатирането на работния процес за оторизация на устройства OAuth 2.0 на Microsoft, за да пробие акаунти. Жертвите биват подмамени да въведат легитимен код за устройство, издаден от Microsoft, на официалната страница за вход, което кара Microsoft да издаде токени за удостоверяване директно на нападателя. Поради това атаките успешно заобикалят многофакторната защита (MFA).

EvilTokens използва AI за автоматизиране на измамите, включително анализ на финансовата експозиция на компрометираните кутии, писане на BEC кампании и превод на откраднати имейли.

След компрометиране ARToken позволява опресняване на токени, ескалация до постоянни PRT токени, пълен достъп до пощенски кутии в Outlook, изпращане на имейли от името на жертвата, създаване на скрити правила за пренасочване, както и наблюдение на множество пощенски кутии едновременно по ключови думи. Нападателите могат също да преглеждат и управляват файлове в SharePoint и OneDrive.

При анализирани фишинг имейли е установено, че нападателите имитират легитимни доставчици с фактури, насочени към служители в счетоводството, използвайки фалшиви SharePoint адреси, хоствани в работното пространство на нападателя в Microsoft 365.