Nuevo servicio EvilTokens impulsa los ataques de phishing

AXCESS · Abril 02, 2026, 04:13:24 AM

Un nuevo kit malicioso llamado EvilTokens integra capacidades de phishing mediante código de dispositivo, lo que permite a los atacantes secuestrar cuentas de Microsoft y proporcionar funciones avanzadas para ataques de compromiso de correo electrónico empresarial.

El kit se vende a ciberdelincuentes a través de Telegram y se encuentra en constante desarrollo. Su creador afirma que planea ampliar la compatibilidad a páginas de phishing de Gmail y Okta.

Los ataques de phishing mediante código de dispositivo abusan del flujo de autorización de dispositivos OAuth 2.0, mediante el cual los atacantes obtienen acceso a la cuenta de la víctima engañando al propietario para que autorice un dispositivo malicioso.

Esta técnica está bien documentada y ha sido utilizada por diversos actores maliciosos, incluidos grupos rusos identificados como Storm-237, UTA032, UTA0355, UNK_AcademicFlare y TA2723, y el grupo de extorsión de datos ShinyHunters.

Ataques de EvilTokens

Investigadores de Sekoia, empresa de detección y respuesta a amenazas, detectaron ataques de EvilTokens en los que las víctimas recibían correos electrónicos con documentos (PDF, HTML, DOCX, XLSX o SVG) que contenían un código QR o un enlace a una plantilla de phishing de EvilTokens.

Estos correos electrónicos fraudulentos suplantan contenido empresarial legítimo, como documentos financieros, invitaciones a reuniones, órdenes de compra o logística, avisos de nómina o documentos compartidos a través de servicios como DocuSign o SharePoint, y suelen estar dirigidos a empleados de finanzas, recursos humanos, logística o ventas.

Diversas plantillas de phishing en EvilTokens

Cuando la víctima abre el enlace, se le muestra una página de phishing que suplanta la identidad de un servicio de confianza (por ejemplo, Adobe Acrobat o DocuSign), la cual muestra un código de verificación e instrucciones para completar la verificación de identidad.

La página solicita al usuario que haga clic en el botón "Continuar a Microsoft", lo que lo redirige a la página de inicio de sesión legítima de Microsoft.

En este punto, el atacante utiliza un cliente legítimo (cualquier aplicación de Microsoft) para solicitar un código de dispositivo. Luego, engaña a la víctima para que se autentique en la URL legítima de Microsoft proporcionada por el atacante.

Flujo de ataque de EvilTokens

De esta forma, el atacante recibe un token de acceso temporal y un token de actualización para un acceso permanente.

Estos tokens le otorgan acceso inmediato a los servicios asociados a la cuenta de la víctima, incluyendo correo electrónico, archivos, datos de Teams y la capacidad de suplantar la identidad de un usuario mediante SSO en los servicios de Microsoft.

Los investigadores de Sekoia analizaron la infraestructura de EvilTokens y descubrieron campañas con alcance global, siendo los países más afectados Estados Unidos, Canadá, Francia, Australia, India, Suiza y los Emiratos Árabes Unidos.

Países más atacados por los operadores de EvilTokens

Además del phishing avanzado, los investigadores de Sekoia afirman que la plataforma de phishing como servicio (PhaaS) de EvilTokens también ofrece funciones avanzadas para llevar a cabo ataques de compromiso de correo electrónico empresarial (BEC) mediante automatización.

La variedad de campañas sugiere que EvilTokens ya está siendo utilizado a gran escala por ciberdelincuentes involucrados en actividades de phishing y compromiso de correo electrónico empresarial (BEC).

Sekoia proporciona indicadores de compromiso (IoC), detalles técnicos y reglas YARA para ayudar a los defensores a bloquear los ataques que utilizan el kit PhaaS de EvilTokens.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Nuevo servicio EvilTokens impulsa los ataques de phishing

AXCESS

Abril 02, 2026, 04:13:24 AM