(https://www.bleepstatic.com/content/hl-images/2026/04/01/tokens.jpg)
Un nuevo kit malicioso llamado EvilTokens integra capacidades de phishing mediante código de dispositivo, lo que permite a los atacantes secuestrar cuentas de Microsoft y proporcionar funciones avanzadas para ataques de compromiso de correo electrónico empresarial.
El kit se vende a ciberdelincuentes a través de Telegram y se encuentra en constante desarrollo. Su creador afirma que planea ampliar la compatibilidad a páginas de phishing de Gmail y Okta.
Los ataques de phishing mediante código de dispositivo abusan del flujo de autorización de dispositivos OAuth 2.0, mediante el cual los atacantes obtienen acceso a la cuenta de la víctima engañando al propietario para que autorice un dispositivo malicioso.
Esta técnica está bien documentada y ha sido utilizada por diversos actores maliciosos, incluidos grupos rusos identificados como Storm-237, UTA032, UTA0355, UNK_AcademicFlare y TA2723, y el grupo de extorsión de datos ShinyHunters.
Ataques de EvilTokens
Investigadores de Sekoia, empresa de detección y respuesta a amenazas, detectaron ataques de EvilTokens en los que las víctimas recibían correos electrónicos con documentos (PDF, HTML, DOCX, XLSX o SVG) que contenían un código QR o un enlace a una plantilla de phishing de EvilTokens.
Estos correos electrónicos fraudulentos suplantan contenido empresarial legítimo, como documentos financieros, invitaciones a reuniones, órdenes de compra o logística, avisos de nómina o documentos compartidos a través de servicios como DocuSign o SharePoint, y suelen estar dirigidos a empleados de finanzas, recursos humanos, logística o ventas.
Diversas plantillas de phishing en EvilTokens
(https://www.bleepstatic.com/images/news/u/1220909/2026/March/templates.jpg)
Cuando la víctima abre el enlace, se le muestra una página de phishing que suplanta la identidad de un servicio de confianza (por ejemplo, Adobe Acrobat o DocuSign), la cual muestra un código de verificación e instrucciones para completar la verificación de identidad.
La página solicita al usuario que haga clic en el botón "Continuar a Microsoft", lo que lo redirige a la página de inicio de sesión legítima de Microsoft.
En este punto, el atacante utiliza un cliente legítimo (cualquier aplicación de Microsoft) para solicitar un código de dispositivo. Luego, engaña a la víctima para que se autentique en la URL legítima de Microsoft proporcionada por el atacante.
Flujo de ataque de EvilTokens
(https://www.bleepstatic.com/images/news/u/1220909/2026/March/attack-flow.jpg)
De esta forma, el atacante recibe un token de acceso temporal y un token de actualización para un acceso permanente.
Estos tokens le otorgan acceso inmediato a los servicios asociados a la cuenta de la víctima, incluyendo correo electrónico, archivos, datos de Teams y la capacidad de suplantar la identidad de un usuario mediante SSO en los servicios de Microsoft.
Los investigadores de Sekoia analizaron la infraestructura de EvilTokens y descubrieron campañas con alcance global, siendo los países más afectados Estados Unidos, Canadá, Francia, Australia, India, Suiza y los Emiratos Árabes Unidos.
Países más atacados por los operadores de EvilTokens
(https://www.bleepstatic.com/images/news/u/1220909/2026/March/targets.jpg)
Además del phishing avanzado, los investigadores de Sekoia afirman que la plataforma de phishing como servicio (PhaaS) de EvilTokens también ofrece funciones avanzadas para llevar a cabo ataques de compromiso de correo electrónico empresarial (BEC) mediante automatización.
La variedad de campañas sugiere que EvilTokens ya está siendo utilizado a gran escala por ciberdelincuentes involucrados en actividades de phishing y compromiso de correo electrónico empresarial (BEC).
Sekoia proporciona indicadores de compromiso (IoC), detalles técnicos y reglas YARA para ayudar a los defensores a bloquear los ataques que utilizan el kit PhaaS de EvilTokens.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/new-eviltokens-service-fuels-microsoft-device-code-phishing-attacks/