En nyopdaget phishing-as-a-service-platform (PhaaS) kaldet ARToken PhaaS ser ud til at fungere som en affiliate af EvilTokens’ phishingøkosystem og giver cyberkriminelle et avanceret værktøj til at kompromittere Microsoft 365-konti. Ifølge forskere automatiserer platformen kontoovertagelser, stjæler autentificeringstokens og indeholder kraftfulde funktioner til Business Email Compromise (BEC)-angreb.
Cisco Talos afslører ARToken PhaaS
Forskere hos Cisco Talos opdagede ARToken under en undersøgelse af phishinginfrastruktur i forbindelse med en hændelsesrespons.
Analysen afslørede en React-baseret administrationskonsol kaldet ARToken Panel. Panelet eksponerede mere end 80 API-endpoints og viste, at platformen er langt mere avanceret end et traditionelt phishingkit til tyveri af loginoplysninger.
Ved at reverse engineere den klientbaserede JavaScript-kode identificerede Talos flere hidtil udokumenterede funktioner, som automatiserer angreb mod Microsoft 365.
Platformen stjæler Microsoft 365-tokens
ARToken gør det muligt for angribere at stjæle Microsoft 365-autentificeringstokens efter at have kompromitteret et offer.
Platformen kan også skabe vedvarende adgang ved at generere såkaldte Primary Refresh Tokens (PRT). Disse tokens gør det muligt for angribere at genvinde adgangen, selv efter at almindelige autentificeringstokens er udløbet.
Når angriberne først har fået adgang, kan de læse Outlook-postkasser, få adgang til SharePoint-websteder og administrere filer, der er gemt i OneDrive.
Stærke forbindelser mellem ARToken og EvilTokens
Talos fandt flere tekniske ligheder mellem ARToken og phishingplatformen EvilTokens.
Begge platforme anvender identiske API-kald til Microsofts Device Code-godkendelsesflow. Forskerne identificerede også de samme API-endpoints til at oprette, forny, opdatere og gendanne Primary Refresh Tokens.
Derudover benytter ARToken den samme Cloudflare Workers-distributionsmodel og fungerer som en multi-tenant phishingtjeneste, hvor affiliates kan administrere separate kampagner.
Device Code-phishing fortsætter med at vokse
EvilTokens bygger sine angreb på Microsofts OAuth 2.0 Device Authorization Grant, bedre kendt som Device Code-phishing.
I stedet for at stjæle brugernavne og adgangskoder direkte narrer angriberne ofrene til at indtaste en legitim Device Code udstedt af Microsoft på virksomhedens officielle login-side.
Microsoft udsteder derefter autentificeringstokens direkte til angriberen, når offeret gennemfører loginprocessen.
Fordi offeret logger ind via Microsofts legitime infrastruktur, kan angrebene omgå multifaktorgodkendelse (MFA).
ARToken tilbyder avancerede BEC-funktioner
Talos fandt, at ARToken indeholder omfattende funktioner til Business Email Compromise-angreb.
Angribere kan læse Outlook-postkasser, sende e-mails fra kompromitterede konti, downloade vedhæftede filer og søge efter bestemte nøgleord i flere postkasser samtidig.
Platformen gør det også muligt at oprette regler, som automatisk videresender, skjuler eller sletter e-mails. Disse regler hjælper angriberne med at bevare adgangen og samtidig reducere risikoen for at blive opdaget.
Derudover giver ARToken fuld adgang til SharePoint og OneDrive. Angriberne kan gennemse, uploade, downloade og erstatte filer, hvilket gør både datatyveri og udrulning af malware langt lettere.
Nye funktioner går videre end tidligere EvilTokens-forskning
Talos opdagede også flere funktioner, som tidligere forskning om EvilTokens ikke havde beskrevet.
Angribere kan importere autentificeringstokens stjålet fra andre kilder og dele kompromitterede konti med andre operatører.
Platformen understøtter også phishing-sider, der automatisk tilpasser deres indhold ud fra offerets geografiske placering.
Forskerne vurderer, at disse funktioner gør phishingkampagner mere overbevisende og øger sandsynligheden for, at angrebene lykkes.
Falske fakturaer rammer økonomiafdelinger
Talos analyserede phishing-e-mails knyttet til platformen og fandt, at angriberne primært gik efter økonomi- og kreditorafdelinger.
E-mailsene udgav sig for at komme fra legitime leverandører og brugte falske fakturaer til at narre modtagerne til at åbne ondsindede links.
I stedet for at sende ofrene til tydelige phishinghjemmesider viste e-mailsene, hvad der lignede legitime Microsoft SharePoint-adresser. Linkene førte dog til Microsoft 365-miljøer kontrolleret af angriberne, som var oprettet for at stjæle autentificeringstokens.
Device Code-phishing bliver stadig mere udbredt
Device Code-phishing er blevet en af de hurtigst voksende angrebsteknikker rettet mod Microsoft 365-brugere.
Tidligere på året afslørede Sekoia, at EvilTokens drives som en kommerciel phishingtjeneste, hvor cyberkriminelle betaler et opstartsgebyr på 1.500 dollar og et månedligt abonnement på 500 dollar.
Push Security rapporterede senere, at antallet af Device Code-phishingangreb steg 37 gange i løbet af det seneste år. Virksomheden identificerede desuden mindst 11 phishingkits, som nu understøtter teknikken.
Den fortsatte vækst i platforme som ARToken viser, hvordan phishing-as-a-service-operatører fortsætter med at udvide deres værktøjer til at automatisere kompromittering af Microsoft 365-konti og Business Email Compromise-svindel.


0 svar til “ARToken PhaaS udvider EvilTokens Microsoft 365-phishingværktøj med avancerede BEC-funktioner”