Introdução
Uma nova e perigosa plataforma de Phishing-as-a-Service (PhaaS) chamada EvilTokens foi identificada em comunidades criminosas underground, oferecendo um kit pronto para roubo de contas Microsoft 365. Diferente das ferramentas tradicionais que imitam páginas de login, o EvilTokens abusa do fluxo legítimo de autenticação de código de dispositivo do Microsoft OAuth 2.0 para conceder acesso total às contas das vítimas.
O surgimento do EvilTokens
Identificado em março de 2026 pela equipe de Threat Detection and Research (TDR) da Sekoia, o EvilTokens opera através de bots do Telegram e fornece afiliados criminosos com templates de páginas de phishing, ferramentas de coleta de e-mails, recursos de reconhecimento de contas e automação impulsionada por IA. O operador, conhecido como eviltokensadmin, anunciou planos para expandir o suporte para páginas de phishing do Gmail e Okta no futuro próximo.
Como o ataque funciona
O núcleo do EvilTokens é o abuso do OAuth 2.0 Device Authorisation Grant, um fluxo legítimo projetado para dispositivos com capacidades limitadas de entrada, como smart TVs ou impressoras. Normalmente, um dispositivo exibe um código curto que o usuário insere em um navegador separado para autenticação. O EvilTokens sequestra esse fluxo, atuando como o dispositivo autenticador e enganando as vítimas para completarem o login em nome do atacante.
O ataque começa quando o atacante envia uma solicitação à API do Microsoft para gerar um novo código de dispositivo. Este código é passado para a vítima através de uma página de phishing ou anexo. A vítima, acreditando estar apenas verificando o acesso a um documento compartilhado ou fatura, visita a página real de login do Microsoft e insere o código. Uma vez que completam o login, o sistema do atacante recebe um token de acesso válido e um token de atualização, concedendo acesso imediato e de longo prazo à conta.
Impacto e alcance
Campanhas vinculadas ao EvilTokens afetaram organizações em toda a América do Norte, América do Sul, Europa, Oriente Médio, Ásia e Oceania. Os países mais impactados incluem Estados Unidos, Austrália, Canadá, França, Índia, Suíça e Emirados Árabes Unidos. Os afiliados focaram em funcionários de finanças, RH, logística e vendas — papéis mais vulneráveis à fraude de Business Email Compromise (BEC). Até 23 de março de 2026, os pesquisadores rastrearam mais de 1.000 domínios hospedando páginas de phishing EvilTokens.
Implicações para a segurança corporativa
O token de acesso dá aos atacantes até 90 minutos para ler e-mails, puxar arquivos do OneDrive e SharePoint e visualizar conversas do Teams. O token de atualização é muito mais perigoso — dura 90 dias e se renova sempre que é usado, permitindo que os atacantes mantenham acesso silencioso sem nenhum novo prompt de login. Em casos avançados, o EvilTokens converte esses tokens em um Primary Refresh Token (PRT), permitindo login silencioso em todos os aplicativos Microsoft 365 sem senha ou MFA.
Medidas de mitigação recomendadas
As organizações devem desabilitar os fluxos de autenticação de código de dispositivo para usuários que não precisam deles usando políticas de Acesso Condicional no Microsoft Entra ID. As equipes de segurança devem monitorar logins usando o tipo de concessão de código de dispositivo, especialmente de locais desconhecidos. O treinamento de funcionários sobre autenticação de dispositivo é essencial, já que este ataque só tem sucesso quando as vítimas não têm consciência do que autorizar ao inserir um código de dispositivo.
Perguntas frequentes
- O que é o EvilTokens? É uma plataforma PhaaS que usa autenticação de dispositivo do Microsoft para roubar contas.
- Como posso me proteger? Desabilite o fluxo de código de dispositivo no Entra ID e monitore logins suspeitos.
- Qual o impacto? Acesso total à conta, incluindo e-mails, arquivos e Teams, por até 90 dias.