Ein neuer schädlicher Kit namens EvilTokens hat wieder eine Technik auf den Tisch gestellt, die, obwohl bekannt, um die Sicherheitsgemeinschaft, weiterhin effektiv und gefährlich ist: der Missbrauch des Freigabeflusses für OAuth 2.0-Geräte zu entführen Unternehmenskonten. Forscher der Sekoia-Erkennungs- und Antwortfirma haben Kampagnen dokumentiert, die dieses Kit verwenden und bestätigen, dass es ein betrügerischer Service in ständiger Entwicklung ist, den Käufern über Telegram angeboten und mit der angegebenen Absicht, seinen Umfang auf zusätzliche Plattformen wie Gmail und Okta zu erweitern. Sie können die technischen Analyse- und Verpflichtungsindikatoren im Bericht Sekoia lesen veröffentlicht von Forschern.
Die Technik, die diese Angriffe ausnutzt, basiert auf dem sogenannten "Gerätecode Flow" von OAuth 2.0, der ursprünglich darauf ausgelegt ist, eine Authentifizierung auf Geräten mit begrenzten Schnittstellen zu ermöglichen. Im Wesentlichen erzeugt der Fluss einen Gerätecode, den der Endbenutzer von einem Browser in einem zweiten Gerät eingeben oder autorisieren muss; das Problem erscheint, wenn dieser Prozess manipuliert wird, so dass das Opfer, glaubend, ein legitimer Service zu validieren, endet bis zu dem Angreifer Zugang und aktualisieren Tokens. Die in diesem Mechanismus beschriebene Norm ist in der Spezifikation RFC 8628 öffentlich zugänglich Hier., und Microsoft dokumentiert auch seine Implementierung und Verwendung in Azure AD in seiner Dokumentation für Entwickler über den Gerätestrom.
In den von Sekoia analysierten Kampagnen ist die Eingangstür keine binäre Post oder eine komplexe Explosion, sondern eine gut gemachte Deko: Dokumente in regelmäßigen Formaten - PDF, HTML, DOCX, XLSX oder sogar SVG - mit einem QR-Code oder einem Link zu Phishing Templates erstellt von EvilTokens. Diese locken imitieren glaubwürdige Geschäftsdokumente, wie Kaufaufträge, Payroll-Anmerkungen, Einladungen zu Meetings oder so genannte Dateien, die von Trust-Diensten wie DocuSign oder SharePoint geteilt werden; daher richten sie oft spezifische Profile in Unternehmen, insbesondere Finanzen, Personal, Logistik oder Vertrieb an. Beim Öffnen des Links findet das Opfer eine Seite, die es simuliert, ein legitimer Service zu sein und eine codebasierte Überprüfung zu verlangen; nach Drücken einer Taste - zum Beispiel "Continue Microsoft" - wird es auf die authentische Microsoft-Login-Website umgeleitet, um die Autorisierung abzuschließen, ohne zu vermuten, dass derselbe Akt dem Angreifer Anmeldeinformationen gibt.
Der Missbrauchsvektor ist genial, weil der Aggressor eine legitime Client-Anwendung verwendet, um den Gerätecode anzufordern und durch die Führung des Opfers, ihn in die echte Microsoft URL einzugeben, sowohl einen temporären Zugriffstoken als auch einen Erfrischungstoken erhält, der einen dauerhaften Zugriff ermöglicht. Mit diesen Token kann der Angreifer nicht nur E-Mails, Zugriffsdateien und Teams-Gespräche lesen und senden, oder sich seitlich durch Dienstleistungen mit Single-Login bewegen, sondern auch Geschäftsengagement-Aktionen (BEC) automatisieren, um Identitäten zu supplantieren, Geld zu bewegen oder sensible Informationen zu extrahieren. Sekoia identifizierte internationale Operationen; die am stärksten betroffenen Länder umfassen die Vereinigten Staaten, Kanada, Frankreich, Australien, Indien, die Schweiz und die Vereinigten Arabischen Emirate.
Am besorgniserregendsten ist, dass EvilTokens als physisch-as@-@ a@-@-service (PhaaS) vermarktet wird, was es den Akteuren mit unterschiedlichen Fähigkeiten erleichtert, sie in großem Umfang zu nutzen. Nach Angaben der Forscher umfasst das Kit verschiedene Vorlagen und Automatisierungstools, die speziell entwickelt wurden, um Firmen-Supplantationsangriffe zu erleichtern, und der Autor kündigt bereits zukünftige Unterstützung für andere Identitätsanbieter an. Dieses Geschäftsmodell reduziert die Einstiegsbarriere für Massenkampagnen und ermöglicht es den Betreibern, durch die Zentralisierung der Entwicklung zu einem einzigen sich entwickelnden Kit schnell Vorlagen und Techniken zu aktualisieren.
Für Organisationen und Verteidiger gibt es eine Kombination von technischen und Sensibilisierungsmaßnahmen, die dieses Risiko mildern können. Die erste Verteidigungslinie ist die Vorbeugung und Segmentierung der Nutzung von OAuth-Flows: Überprüfung, welche Anwendungen Zugriffsbewilligungen haben, die Anwendung von Einwilligungsrichtlinien für Anwendungen und die Einschränkung der Nutzung des Gerätecode-Flows, wenn nicht erforderlich. Darüber hinaus können bedingte Zugriffskontrollen und Richtlinien, die den Ruf, das Standort- oder Sitzungsrisiko des Kunden beurteilen, abnorme Versuche blockieren, Token zu bekommen. Parallel sollte der Nachweis die Analyse der ausgestellten Token, Warnhinweise auf von unerwarteten Standorten angewendeten Erfrischungstoken und die Prüfung der Bewerbungsanträge beinhalten. Die Antwortteams können sich auf die YARA- und IoC-Regeln verlassen, die Sekoia in seinem Bericht zur Identifizierung von Infrastrukturen im Zusammenhang mit EvilTokens und Kampagnenmustern zur Verfügung gestellt hat.
Die menschliche Komponente darf nicht vergessen werden: Social Engineering bleibt der effektivste Vektor. Deshalb ist es von entscheidender Bedeutung, dass Mitarbeiter ausgebildet sind, E-Mails mit verdächtigen Dokumenten zu identifizieren, die Authentizität der Absender zu überprüfen und QR-Codes zu scannen oder unified Links zu drücken. Organisationen sollten klare Verfahren fördern, um Anfragen für sensible Informationen oder Transfers zu bestätigen und alternative sichere Kanäle zur Validierung kritischer Kommunikation bereitzustellen; im Falle von Zweifeln über die Legitimität einer Ressource, überprüfen Sie die URL und bestätigen auf andere Weise, es vermeidet viele Zwischenfälle.
Um zu vertiefen, wie der Fluss der Geräte funktioniert und warum es ausgenutzt werden kann, wird empfohlen, sowohl die technische Spezifikation von OAuth 2.0 für Gerätecodes (RFC 8628) als auch die Implementierungsanleitungen der Identitätsanbieter, die Ihr Unternehmen verwendet, zu überprüfen. Darüber hinaus helfen allgemeine Leitlinien für die Umsetzung und die von Cyber-Sicherheitsagenturen veröffentlichten Geschäfts-Mail-Zusagen, Bedrohungen und bewährte Praktiken zu kontextualisieren. Nützliche Ressourcen umfassen Microsoft-Dokumentation auf Gerätefluss und die Analyse von Sekoia über EvilTokens, sowie Material von Agenturen wie der CISA auf Unternehmenspostbetrug im Zusammenhang mit BEC und Empfehlungen nationaler Sicherheitszentren zu Phishing und guten Praktiken im Internet.
Kurz gesagt, EvilTokens ist eine robuste Erinnerung, dass sich Bedrohungen an dem Punkt entwickeln, an dem der technische Komfort mit menschlichem Vertrauen überquert wird. Es geht nicht nur darum, einen technischen Misserfolg abzudecken, sondern die Sicherheitskultur und die Identitätskontrolle zu verschärfen. sowohl die belichtete Oberfläche als auch die Auswirkungen eines kompromittierten Anmelders zu reduzieren. Organisationen, die strenge Zugangsrichtlinien, aktive Tokenüberwachung und gezielte Ausbildung in der Sozialtechnik kombinieren, werden besser vorbereitet, solche Angriffe zu erkennen und zu neutralisieren, bevor sie erhebliche Schäden verursachen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...