Die Technik des Device-Code-Phishings ist gut dokumentiert und wurde bereits von verschiedenen Bedrohungsakteuren eingesetzt, darunter russische Gruppen, die unter den Bezeichnungen Storm-237, UTA032, UTA0355, UNK_AcademicFlare und TA2723 geführt werden, sowie die Erpressergruppe ShinyHunters. EvilTokens bündelt diese Vorgehensweise nun in einem fertigen, laufend weiterentwickelten Baukasten.
Nach den Beobachtungen von Sekoia beginnt ein Angriff mit E-Mails, die Dokumente in den Formaten PDF, HTML, DOCX, XLSX oder SVG enthalten. Darin findet sich entweder ein QR-Code oder ein Link zu einer EvilTokens-Phishing-Vorlage. Die Köder geben sich als legitime Geschäftsinhalte aus – etwa Finanzdokumente, Besprechungseinladungen, Logistik- oder Bestellunterlagen, Gehaltsmitteilungen oder über Dienste wie DocuSign und SharePoint geteilte Dateien. Häufig sind sie gezielt auf Beschäftigte in den Bereichen Finanzen, Personal, Logistik oder Vertrieb zugeschnitten.
Öffnet das Opfer den Link, erscheint eine Phishing-Seite, die einen vertrauenswürdigen Dienst wie Adobe Acrobat oder DocuSign nachahmt. Sie zeigt einen Bestätigungscode und fordert zur Identitätsprüfung auf. Über eine Schaltfläche „Weiter zu Microsoft" wird das Opfer auf die echte Anmeldeseite für die Geräteautorisierung von Microsoft weitergeleitet.
In diesem Moment fordert der Angreifer mit einem legitimen Client – einer beliebigen Microsoft-Anwendung – einen Device-Code an und bringt das Opfer dazu, sich unter der echten Microsoft-URL zu authentifizieren. Auf diese Weise erhält der Angreifer sowohl ein kurzlebiges Zugriffstoken als auch ein Refresh-Token für dauerhaften Zugang.
Mit diesen Tokens kann der Angreifer sofort auf die mit dem Konto verbundenen Dienste zugreifen, darunter E-Mail, Dateien und Teams-Daten. Hinzu kommt die Möglichkeit, sich per Single Sign-on über verschiedene Microsoft-Dienste hinweg als das Opfer auszugeben.
Neben dem eigentlichen Phishing bietet die als Phishing-as-a-Service (PhaaS) betriebene Operation laut Sekoia auch „fortgeschrittene Funktionen zur Durchführung von BEC-Angriffen" durch Automatisierung. Die Bandbreite der beobachteten Kampagnen lege nahe, dass EvilTokens bereits in großem Umfang von Akteuren genutzt werde, die in Phishing- und BEC-Aktivitäten verwickelt sind.
Sekoia untersuchte die Infrastruktur von EvilTokens und stellt Indikatoren für eine Kompromittierung, technische Details sowie YARA-Regeln bereit, um Verteidiger beim Blockieren entsprechender Angriffe zu unterstützen.
