O kit de phishing EvilTokens tem se destacado como uma das ameaças mais sofisticadas observadas por equipes de SOC, utilizando técnicas de ofuscação avançadas para contornar análises estáticas de URL e detecções de rede tradicionais. A principal característica que torna este ataque crítico é o uso de código "fantasma", que permanece criptografado até o momento da execução no navegador da vítima, permitindo que o conteúdo malicioso só seja revelado após a decodificação AES-GCM no lado do cliente.
Por que o EvilTokens se tornou um ponto cego para equipes de SOC
A análise tradicional de URLs frequentemente falha ao identificar a ameaça EvilTokens porque o HTML da página de aterrissagem é entregue criptografado. Isso significa que verificações de rede e ferramentas de triagem baseadas em assinaturas estáticas podem registrar a resposta inicial sem jamais revelar o que a vítima realmente vê na tela. O resultado é um veredito incompleto, verificações manuais extras e contenção atrasada. Quando um SOC não consegue observar o que uma página suspeita faz após a execução no navegador, as consequências vão além de uma investigação mais lenta.
A lacuna de visibilidade transforma-se em um problema de negócios significativo. A exposição prolongada a um possível comprometimento de conta Microsoft 365 pode resultar em decisões de contenção mais lentas, mais alertas empurrados para a equipe sênior de segurança e custos operacionais mais elevados devido à carga de investigação. Além disso, a evidência incompleta para bloquear a infraestrutura circundante aumenta as chances de acesso não autorizado a dados corporativos e serviços críticos.
Alvos e regiões mais expostos
Dados de inteligência de ameaças da ANY.RUN mostram que a atividade recente do EvilTokens está concentrada principalmente nos Estados Unidos e na Europa. O kit tem sido visto atacando organizações em setores como serviços de segurança gerenciados, tecnologia, manufatura, educação, bancos e consultoria financeira. O padrão aponta para o EvilTokens focando em ambientes onde uma única conta Microsoft 365 comprometida pode abrir as portas para dados sensíveis, conversas internas e serviços de negócios vinculados.
A escolha desses setores reflete a alta sensibilidade dos dados e a dependência de ferramentas de produtividade em nuvem. O comprometimento de uma conta em um banco ou firma de consultoria pode ter implicações financeiras e regulatórias severas, tornando esses alvos prioritários para os operadores do EvilTokens.
Análise técnica: como o ataque funciona
O ataque do EvilTokens utiliza o fluxo legítimo de login de dispositivo da Microsoft para obter acesso à conta sem capturar diretamente a senha da vítima. Em vez de roubar credenciais, o kit persuade a vítima a passar pelo fluxo legítimo de login de dispositivo da Microsoft e, sem perceber, concede acesso à própria conta. A página de aterrissagem é servida dentro de uma resposta HTTP criptografada com AES-GCM. O HTML DOM decifrado pode então ser revisado no painel de dados do navegador.
Os investigadores podem usar a inspeção de dados no navegador para estudar casos como este em várias camadas. As mudanças no HTML DOM registram como o DOM muda ao longo do tempo, permitindo que os investigadores comparem instantâneos da mesma página. Isso facilita a identificação do momento exato em que a página de phishing decifrada aparece. As solicitações HTTP abrem visibilidade para o tráfego de rede no nível do navegador, incluindo solicitações HTML, JavaScript, Fetch/XHR e outros tipos de requisição.
Os detalhes da URL mostram a URL final e o domínio, dados do certificado SSL, registros DNS A, estatísticas de solicitação e quaisquer assinaturas de detecção que foram acionadas. Os indicadores reúnem indicadores de comprometimento vinculados à página, como domínios de nível superior, subdomínios, pontos finais de URL, hashes de arquivo, endereços IP e detalhes ASN.
Triagem e pivô para ameaças mais amplas
O que você aprende com uma única sessão de análise pode ser usado para revelar infraestrutura de phishing relacionada e atividade. Começando com os detalhes da URL, onde o código exposto no DOM acionou a assinatura de phishing de código de dispositivo OAuth da Microsoft, os investigadores podem buscar outras páginas de phishing construídas com padrões de código semelhantes. A pesquisa por assinaturas na inteligência de ameaças revela que este comportamento não é exclusivo do EvilTokens.
Outros kits usam código e técnicas comparáveis, permitindo que as equipes vão além de um caso isolado e reconheçam um cluster mais amplo de ameaças relacionadas. Para focar especificamente no EvilTokens, consultas de inteligência de ameaças podem ser usadas para vincular um alerta individual a atividades de phishing mais amplas, ampliar a cobertura de detecção e antecipar ataques relacionados.
Medidas de mitigação recomendadas
Para confirmar a ameaça rapidamente, as equipes precisam ver o que acontece quando a página começa a executar. A inspeção de dados no navegador dentro de sandboxes interativos permite que os investigadores estudem casos como este em várias camadas. A análise de mudanças no DOM, solicitações HTTP e detalhes da URL fornece evidências diretas para triagem e resposta.
As equipes devem priorizar a inspeção no nível do navegador para URLs suspeitas, em vez de confiar apenas em verificações de URL estáticas. A implementação de regras de detecção personalizadas baseadas em padrões de código decifrado e comportamentos de navegador observados pode fortalecer a postura de segurança. Além disso, o uso de inteligência de ameaças para pivotar de uma sessão para domínios, padrões de código e kits relacionados ajuda a antecipar ataques futuros.
O que os CISOs devem fazer imediatamente
Os CISOs devem garantir que suas equipes de SOC tenham visibilidade no nível do navegador para triagem de URLs. A implementação de sandboxes interativos que permitem a inspeção de dados no navegador é crucial para identificar ameaças como o EvilTokens. Além disso, a atualização das regras de detecção para incluir padrões de phishing de código de dispositivo e a capacitação dos analistas de Tier 1 para usar evidências de nível de navegador podem reduzir o tempo de triagem e evitar escalonamentos desnecessários.
Perguntas frequentes
Por que o EvilTokens é difícil de detectar? Porque o conteúdo malicioso é criptografado e só é revelado após a execução no navegador, contornando análises estáticas.
Quais setores são mais afetados? Serviços de segurança gerenciados, tecnologia, manufatura, educação, bancos e consultoria financeira.
Como mitigar este ataque? Utilize inspeção no nível do navegador, atualize regras de detecção baseadas em comportamento e use inteligência de ameaças para pivotar entre sessões.