Новый фишинговый сервис EvilTokens массово использует уязвимость схемы авторизации Microsoft для кражи учётных записей

Атака EvilTokens основана на эксплуатации легитимного, но малоизвестного пользователям потока авторизации OAuth 2.0 Device Authorisation Grant. Этот метод предназначен для входа на устройства с ограниченным интерфейсом, такие как смарт-телевизоры или принтеры. Вместо ввода пароля на самом устройстве пользователь получает код, который должен ввести на отдельном устройстве, например, в браузере на смартфоне, чтобы подтвердить вход. Злоумышленники, используя EvilTokens, инициируют такую сессию от имени жертвы, получают от Microsoft этот временный код, а затем с помощью фишингового письма или веб-страницы обманом заставляют саму жертву ввести его на официальном сайте login.microsoftonline.com. В результате токены доступа к аккаунту жертвы получает не её устройство, а инфраструктура злоумышленника.

Этот метод принципиально отличается от классического фишинга, где создаётся поддельная копия страницы входа. Здесь пользователь взаимодействует исключительно с легитимными серверами Microsoft, что делает атаку крайне сложной для обнаружения как традиционными системами фильтрации, так и самим пользователем. Единственный намёк - предупреждение на странице Microsoft "Не вводите коды из ненадёжных источников", на которое пользователи, обманутые качественной социальной инженерией, часто не обращают внимания. Согласно отчёту Sekoia, после успешной атаки злоумышленник получает кратковременный токен доступа и, что критически важно, долгоживущий токен обновления, который может быть автоматически обменян на Primary Refresh Token (PRT), ключевой артефакт для единого входа в систему. Это обеспечивает злоумышленнику устойчивый доступ к аккаунту на срок до 90 дней, позволяя читать почту в Outlook, выгружать документы из OneDrive и SharePoint, а также проводить разведку в среде организации через Microsoft Graph API.

Сервис EvilTokens предоставляет своим клиентам, так называемым аффилиатам, полностью готовую инфраструктуру. В набор входят разнообразные шаблоны фишинговых страниц, маскирующихся под уведомления от Adobe Acrobat Sign, DocuSign, оповещения о голосовой почте, истечении пароля или приглашения в календарь. Все они побуждают пользователя скопировать код и пройти на легальную страницу Microsoft для его ввода. Бэкенд EvilTokens, анализ кода которого провели эксперты Sekoia, автоматически взаимодействует с API Microsoft, получает токены, конвертирует их в PRT и даже генерирует специальные cookies для браузера, позволяющие осуществить захват сессии единого входа без пароля и многофакторной аутентификации. Аналитики отмечают, что код обладает высокой степенью автоматизации и, возможно, был полностью сгенерирован с помощью искусственного интеллекта.

Уже к середине марта 2026 года зафиксированы масштабные кампании с использованием EvilTokens, затронувшие организации в Северной и Южной Америке, Европе, Ближнем Востоке, Азии и Океании. Наиболее часто целью становятся сотрудники финансовых департаментов, отдела кадров, логистики и продаж, что прямо указывает на мотивацию атак - компрометацию деловой переписки для мошеннических финансовых операций. Фишинговые письма рассылаются с вложениями в форматах PDF, DOCX или XLSX, содержащими QR-коды или ссылки на страницы EvilTokens. Инфраструктура атак развёрнута на сотнях доменов, включая автоматически создаваемые поддомены на платформе Cloudflare Workers, что позволяет злоумышленникам быстро менять используемые адреса.

Быстрое распространение и техническая изощрённость сервиса EvilTokens сигнализируют о новой эскалации в сфере фишинга. Традиционные средства защиты, нацеленные на обнаружение поддельных форм ввода учётных данных, против этой атаки неэффективны. Основной мерой противодействия становится повышение осведомлённости пользователей: сотрудники должны чётко понимать, что ввод кода с устройства на сайте Microsoft предоставляет полный доступ к их аккаунту, и делать это можно только для своих собственных, физически находящихся рядом устройств. Для специалистов по безопасности ключевыми индикаторами компрометации могут служить сетевые запросы к характерным для бэкенда EvilTokens endpoint, таким как "/api/device/start", а также наличие специфичного HTTP-заголовка "X-Antibot-Token" в трафике. Появление такого специализированного сервиса делает ранее узкоспециализированную атаку через код устройства массово доступной угрозой, требующей пересмотра подходов к защите облачных корпоративных сред.

Domains

• adobe-7bf.signature-on-invoice-required-mail-com-s-account.workers.dev
• adobe-8dt.ishaan-zvi-dropmeon-com-s-account.workers.dev
• adobe-b6d.tuwilika-fcsnam-com-s-account.workers.dev
• adobe-h7l.gregcausey-hyundaicrenshaw-com-s-account.workers.dev
• adobe-lar.denise-chxhistory-com-s-account.workers.dev
• adobe-mxg.snpfs90-outlook-com-s-account.workers.dev
• adobe-of6.hayixa9795-pazard-com-s-account.workers.dev
• adobe-qi2.pm-pdgrealty-proton-me-s-account.workers.dev
• adobe-t9r.thomas-gibson-clyde-enq-com-s-account.workers.dev
• adobe-y73.letsgo-birdynyc-com-s-account.workers.dev
• adobe-yzz.ejkim-gsglobalusa-us-s-account.workers.dev
• authdocspro.com
• backdoor-hub.com
• bumpgames.net
• carbatterygurgaon.com
• careldutoit-el.co.za
• dao.com.au
• docusend.networkssolutionmail.com
• docusign-14g.jhipolito-arrow-food-com-s-account.workers.dev
• docusign-520.mike-maplecityglass-net-s-account.workers.dev
• docusign-a5c.export-cellular-iberia-com-s-account.workers.dev
• docusign-ac3.christina-parsons-charter-comm-com-s-account.workers.dev
• docusign-d0e.admin-treyripple-com-s-account.workers.dev
• docusign-ffp.garciarodriguezt-student-wpunj-edu-s-account.workers.dev
• docusign-gmx.medea-locallovechs-com-s-account.workers.dev
• docusign-o4x.bhc-credit-services-edl-bayreer-com-s-account.workers.dev
• docusign-t0o.accountsreceivable-greens-au-com-s-account.workers.dev
• docusign-u0p.kevin-domae-ca-s-account.workers.dev
• docusign-vs4.finance-zltnservices-org-s-account.workers.dev
• docusign-y8l.accountant-fitfranchisebrands-com-s-account.workers.dev
• eqfit.co.za
• eventcalender-schedule.com
• evobothub.org
• framebound.cloud
• index-8ni.shirdav-mail-com-s-account.workers.dev
• index-ap3.tyler2miler-proton-me-s-account.workers.dev
• index-izk.rifkit-protonmail-com-s-account.workers.dev
• infinitechai.org
• internalmemorecord.bxwancheng.com
• macmamo.com
• mirsanotolastik.com
• mirzanyapi.com
• newmobilepolojean.com
• notificationsmanagersec.com
• onedrive-23n.sbutler-stateservice-us-s-account.workers.dev
• onedrive-33i.amittal-prodwaresol-com-s-account.workers.dev
• onedrive-4um.accounting-malitzconstructioninc-co-s-account.workers.dev
• onedrive-7fp.davarius-thackery-dropmeon-com-s-account.workers.dev
• onedrive-ac4.ryker-samik-dropmeon-com-s-account.workers.dev
• onedrive-au8.hayixa9795-pazard-com-s-account.workers.dev
• onedrive-dsk.cassandra-warholak-ifrma-org-s-account.workers.dev
• onedrive-hea.jhaas-hapnehartmedia-com-s-account.workers.dev
• page-custommmvx6290-9kb.snpfs90-outlook-com-s-account.workers.dev
• page-voicemail-3i6.ucbqzm9-ucl-ac-uk-s-account.workers.dev
• pelangiservice.com
• prcservis.com
• promanager.outboundciwidey.com
• serenitygovsupplys.com
• sharepoint-uo2.angela-warrconstructioninc-onmicrosoft-com-s-account.workers.dev
• signaturerequired.thecoolcactus.com
• smstltle.net
• statushelper.aguasomos.com
• suctwocesonesstory.com
• thesafarigarden.com
• topbuysella.com
• totalhomesafe.com
• update.youcreadio.cfd
• voicemail-l1b.thomas-gibson-clyde-enq-com-s-account.workers.dev
• well.atlantaperlnatal.com
• xlkconsulting.co.za
• yankeepine.co
• youremplregroup.com