Hack Alerta

EvilTokens esconde fluxo de ataque no navegador expondo lacunas de análise estática

Por Redação Hack Alerta Publicado em 24/06/2026 16:10 Cyber ataques Tempo de leitura: 4 min

EvilTokens esconde fluxo de ataque de phishing no navegador usando criptografia AES-GCM. Técnica expõe lacunas de análise estática. ANY.RUN documenta casos de uso em produção.

Descoberta e escopo

O kit de phishing EvilTokens está chamando atenção em investigações de phishing por abusar da autenticação Microsoft Device Code e esconder partes-chave de seu fluxo de ataque da análise estática de URL. Em uma análise recente, a página de phishing foi encontrada criptografada na resposta HTML inicial e apareceu apenas após a decodificação no lado do navegador renderizá-la no DOM.

O caso mostra por que analistas precisam de visibilidade no nível do navegador para confirmar comportamento de phishing dinâmico, extrair evidências e agir mais rápido da triagem à resposta.

O que mudou agora

Campanhas de phishing de código de dispositivo impulsionadas pelo EvilTokens já foram vinculadas a comprometimentos em múltiplas organizações. O perigo não é apenas o kit de phishing em si, mas a lacuna de visibilidade que ele cria durante investigações. Analistas podem revisar uma URL suspeita e encontrar pouca evidência de atividade maliciosa, enquanto o fluxo de phishing real permanece oculto.

Vetor e exploração

A razão é que a página de phishing não está imediatamente disponível na resposta do servidor. Em vez disso, o EvilTokens entrega um payload criptografado AES-GCM que é decifrado apenas após a execução de JavaScript no lado do navegador. O conteúdo de phishing é então renderizado diretamente no DOM, revelando a página de autenticação com marca da Microsoft, código do usuário e instruções mostradas à vítima.

Impacto e alcance

Para analistas, isso cria uma lacuna significativa de visibilidade. A análise estática de URL pode mostrar a fonte da página, solicitações de rede e dados de reputação, mas perder o conteúdo que aparece apenas após a execução. Conforme kits de phishing dependem cada vez mais de comportamento dinâmico do navegador, entender o que acontece dentro do navegador torna-se crítico para confirmar atividade maliciosa e tomar decisões de triagem confiantes.

Esta lacuna de visibilidade pode levar a:

  • Triagem de phishing mais lenta porque a página real não é visível à primeira vista
  • Confirmação atrasada de risco de takeover de conta
  • Mais trabalho manual para reconstruir o fluxo de ataque
  • Evidência pouco clara para escalonamento para equipes Tier 2 ou IR
  • IOCs perdidos que poderiam apoiar hunting e detecção
  • Mais tempo entre o primeiro alerta e ação de resposta

Medidas de mitigação recomendadas

Organizações devem implementar as seguintes medidas:

  • Implementar visibilidade no nível do navegador para análise de URLs de phishing
  • Utilizar sandboxes dinâmicas que executam JavaScript para revelar conteúdo oculto
  • Monitorar padrões de tráfego HTTP específicos para fluxos de dispositivo-code
  • Implementar regras de detecção baseadas em assinaturas de OAuth de dispositivo
  • Capacitar equipes de SOC para identificar sinais de phishing dinâmico

Implicações regulatórias (LGPD)

Para organizações brasileiras, o comprometimento de credenciais através de phishing pode resultar em violação de dados pessoais. Organizações devem:

  • Documentar todas as medidas de mitigação implementadas
  • Monitorar possíveis violações de dados decorrentes de credenciais comprometidas
  • Notificar a ANPD e os titulares afetados em caso de violação confirmada
  • Revisar políticas de autenticação para considerar MFA adicional

O que os CISOs devem fazer imediatamente

Devido à natureza evolutiva deste ataque, os CISOs devem:

  1. Implementar ferramentas de análise de phishing com visibilidade no nível do navegador
  2. Capacitar equipes de SOC para identificar sinais de phishing dinâmico
  3. Implementar monitoramento aumentado para fluxos de autenticação OAuth
  4. Considerar bloqueio de fluxos de dispositivo-code não autorizados
  5. Realizar exercícios de simulação de phishing para testar detecção

Perguntas frequentes

Qual a gravidade desta ameaça?
Esta é uma técnica de evasão sofisticada que permite que ataques de phishing passem por análises estáticas tradicionais. O risco é alto devido à capacidade de comprometer credenciais corporativas.

Existe PoC disponível?
Sim, o EvilTokens já está em uso ativo em campanhas de phishing. ANY.RUN documentou casos de uso em produção.

Quais setores estão mais afetados?
Organizações que utilizam Microsoft 365 e autenticação OAuth, especialmente setores com alto valor de dados como financeiro, saúde e tecnologia.

Baseado em publicação original de Cyber Security News
Tags: #=eviltokens #phishing #microsoft #oauth #device-code #soc #triagem #ciberseguranca #navegador
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar