Une nouvelle plateforme malveillante nommée EvilTokens émerge sur les forums clandestins, spécialisée dans l’attaque par code d’appareil pour dérober les comptes Microsoft. Ce kit est proposé sur Telegram et permet à ses utilisateurs d’acquérir des capacités de pishing perfectionnées pour compromettre des boîtes mail professionnelles.
Le principe de l’attaque par code d’appareil
La méthode exploite le flux d’autorisation d’appareil OAuth 2.0. Les attaquants obtiennent un code qu’ils présentent à la victime sur une fausse page, l’incitant à l’autoriser sur le site légitime de Microsoft. Cette technique n’est pas nouvelle et a été employée par divers groupes, notamment des acteurs russes comme Storm-237 ou encore le collectif d’extorsion de données ShinyHunters.
Dans les campagnes observées par les analystes de la société de cybersécurité Sekoia, les victimes reçoivent des emails piégés. Ces messages contiennent des documents (PDF, HTML, DOCX) qui mènent à un modèle de pishing EvilTokens. Les leurres imitent des contenus professionnels courants : ordres de paiement, invitations à des réunions, notifications de salaire ou documents partagés via DocuSign ou SharePoint.
Un processus d’authentification détourné
La page de pishing, qui usurpe l’identité d’un service de confiance comme Adobe Acrobat, affiche un code de vérification. L’utilisateur est ensuite redirigé vers l’authentification légitime de Microsoft. L’attaquant, ayant préalablement généré une demande de code, récupère alors à la fois un jeton d’accès à courte durée et un jeton de rafraîchissement. Ce dernier garantit un accès persistant au compte.
Une fois l’accès obtenu, les attaquants peuvent consulter les emails, les fichiers, les données Teams et même usurper l’identité de la victime sur d’autres services Microsoft via l’authentification unique SSO.
Une menace déployée à l’échelle mondiale
L’infrastructure d’EvilTokens a fait l’objet d’une analyse approfondie. Les campagnes identifiées ont une portée mondiale, ciblant principalement les États-Unis, le Canada, la France, l’Australie, l’Inde, la Suisse et les Émirats Arabes Unis.
Selon Sekoia, EvilTokens est une offre de PhaaS (Phishing-as-a-Service). La plateforme fournit des fonctionnalités avancées pour automatiser les attaques de compromission d’email professionnel BEC. La diversité des campagnes en cours montre que ce kit est déjà utilisé à grande échelle par des groupes malveillants. Les chercheurs ont publié des indicateurs de compromission et des règles YARA pour aider les équipes de défense à se protéger.