Обнаружена платформа ARToken, связанная с EvilTokens, которая предоставляет хакерам продвинутые инструменты для кражи учетных данных Microsoft 365 и проведения атак.
Исследователи безопасности выявили новую фишинговую платформу ARToken, которая, предположительно, является частью экосистемы EvilTokens. Платформа предоставляет злоумышленникам инструменты для компрометации учетных записей Microsoft 365.
ARToken предлагает панель управления с более чем 80 API-интерфейсами. Платформа позволяет красть токены аутентификации Microsoft 365, получать постоянный доступ к учетным записям через Primary Refresh Tokens (PRTs), а также получать доступ к почте Outlook, сайтам SharePoint и файлам OneDrive.
ARToken использует Cloudflare Workers для развертывания фишинговой инфраструктуры, что упрощает автоматизацию атак типа Business Email Compromise (BEC). Платформа использует те же API-вызовы для потока аутентификации Microsoft Device Code, что и EvilTokens, что позволяет обходить многофакторную аутентификацию.
EvilTokens, обнаруженная ранее, продавалась киберпреступникам за $1500 с ежемесячной подпиской в $500. Она известна использованием ИИ для анализа украденных почтовых ящиков и автоматического создания фишинговых кампаний. ARToken расширяет эти возможности, позволяя отслеживать ключевые слова в нескольких почтовых ящиках одновременно и делиться доступом к скомпрометированным аккаунтам.
Злоумышленники могут создавать правила для скрытия или удаления сообщений, а также использовать фишинговые страницы, которые автоматически адаптируют контент в зависимости от местоположения жертвы. Фишинговые письма часто маскируются под счета от легитимных поставщиков, направляя жертв на поддельные страницы, выглядящие как официальные сайты SharePoint.
Атаки с использованием кода устройства (device code phishing) демонстрируют рост. ARToken является очередным примером использования этой техники для компрометации учетных записей Microsoft 365.

