Um novo kit malicioso chamado EvilTokens voltou a colocar sobre a mesa uma técnica que, embora conhecida pela comunidade de segurança, continua a ser eficaz e perigosa: o abuso do fluxo de autorização para dispositivos de OAuth 2.0 para sequestrar contas corporativas. Pesquisadores da assinatura de detecção e resposta Sekoia documentaram campanhas que utilizam este kit e confirmam que se trata de um serviço fraudulento em constante evolução, oferecido a compradores através do Telegram e com a intenção declarada de ampliar seu alcance para plataformas adicionais como o Gmail e o Okta. Você pode ler a análise técnica e os indicadores de compromisso no relatório da Sekoia publicado pelos pesquisadores.
A técnica que explora estes ataques apoia-se no chamado "device code flow" de OAuth 2.0, originalmente concebido para permitir a autenticação em dispositivos com interfaces limitadas. Em essência, o fluxo gera um código de dispositivo que o usuário final deve introduzir ou autorizar a partir de um navegador em um segundo dispositivo; o problema aparece quando esse processo se manipula para que a vítima, acreditando estar validando um serviço legítimo, termine entregando ao atacante tokens de acesso e refresh Tokens. O padrão que descreve este mecanismo está disponível publicamente na especificação RFC 8628 aqui, e a Microsoft também documenta sua implementação e uso no Azure AD em sua documentação para desenvolvedores sobre o fluxo de dispositivo.
Nas campanhas analisadas por Sekoia, a porta de entrada não é um e-mail binário nem um exploit complexo, mas sim um senhô bem confeccionado: documentos em formatos habituais —PDF, HTML, DOCX, XLSX ou mesmo SVG— que contêm um código QR ou um link para modelos de phishing criados por EvilTokens. Esses lures imitam documentos empresariais credíveis, como ordens de compra, avisos de pagamento, convites a reuniões ou supostos ficheiros partilhados por serviços de confiança como o DocuSign ou o SharePoint; por isso, costumam dirigir-se a perfis específicos dentro das empresas, especialmente finanças, recursos humanos, logística ou vendas. Ao abrir a ligação, a vítima encontra-se com uma página que simula ser um serviço legítimo e pede-lhe uma verificação através de um código; depois de carregar num botão - por exemplo, "Continuar a Microsoft" - é redireccionada ao site autêntico de login da Microsoft para completar a autorização, sem suspeitar que esse mesmo ato entrega credenciais ao atacante.
O vetor de abuso é engenhoso porque o agressor usa uma aplicação cliente legítima para solicitar o código de dispositivo e, ao orientar a vítima para o inserir na URL genuína da Microsoft, consegue receber tanto um token de acesso temporário como um refresh token que permite manter acesso persistente. Com esses tokens, o atacante não só pode ler e enviar e-mails, acessar arquivos e conversas de Teams, ou mover-se lateralmente por serviços com início de sessão única, mas também automatizar ações de compromisso empresarial (BEC) para suplantar identidades, mover dinheiro ou extrair informações sensíveis. Sekoia detectou operações com alcance internacional; entre os países mais afetados estão os Estados Unidos, Canadá, França, Austrália, Índia, Suíça e Emirados Árabes Unidos.
O mais preocupante é que EvilTokens se comercializa como phishing-as-a-service (PhaaS), o que facilita que atores com diferentes níveis de habilidade o empregam em grande escala. Segundo os pesquisadores, o kit incorpora modelos diversas e ferramentas de automação especificamente pensadas para facilitar ataques de suplantação corporativa, e o autor já anuncia suporte futuro para outros fornecedores de identidade. Esse modelo de negócio reduz a barreira de entrada para campanhas massivas e, ao centralizar o desenvolvimento em um único kit em evolução, permite aos operadores atualizar modelos e técnicas rapidamente.
Para as organizações e defensores existe uma combinação de medidas técnicas e de sensibilização que pode mitigar este risco. A primeira linha de defesa é a prevenção e a segmentação do uso de fluxos de OAuth: revisar quais aplicativos têm permissões de acesso, aplicar políticas de consentimento para aplicativos e restringir o uso do device code flow quando não for necessário. Complementariamente, controles de acesso condicional e políticas que avaliem a reputação do cliente, a localização ou o risco de sessão podem bloquear tentativas anormais de obter tokens. Em paralelo, a detecção deve contemplar a análise de tokens emitidos, alertas sobre refresh Tokens aplicados a partir de localizações inesperadas e a auditoria de consentimentos de aplicativos. As equipas de resposta podem ser apoiadas nas regras YARA e IoC que Sekoia disponibilizou no seu relatório para identificar infra-estruturas relacionadas com EvilTokens e padrões de campanha.
Não devemos esquecer o componente humano: a engenharia social continua a ser o vetor mais eficaz. É por isso crucial que os funcionários sejam formados para identificar e-mails com documentos suspeitos, verificar a autenticidade dos remetentes e evitar digitalizar códigos QR ou carregar ligações sem verificar. As organizações devem promover procedimentos claros para confirmar pedidos de informação sensível ou transferências e fornecer canais seguros alternativos para validar comunicações críticas; no caso de dúvidas sobre a legitimidade de um recurso, verificar a URL e confirmar por outros meios evita muitos incidentes.
Para aprofundar a forma como o fluxo de dispositivos funciona e por que pode ser explorado, é recomendável rever tanto a especificação técnica de OAuth 2.0 para device codes (RFC 8628) como os guias de implementação dos fornecedores de identidade que sua empresa utiliza. Além disso, guias gerais sobre suplantação e compromissos de e-mail empresarial publicados por organismos de cibersegurança ajudam a contextualizar ameaças e melhores práticas para responder. Recursos úteis incluem a documentação da Microsoft sobre o fluxo de dispositivo e análise de Sekoia sobre EvilTokens, bem como material de agências como a CISA sobre fraudes por correio corporativo relacionados com BEC e recomendações de centros nacionais de segurança sobre phishing e boas práticas na web.
Em suma, EvilTokens é um lembrete robusto de que as ameaças evoluem no ponto onde a conveniência técnica se cruza com a confiança humana. Não se trata apenas de colmatar uma falha técnica, mas de endurecer a cultura de segurança e os controlos de identidade Para reduzir tanto a superfície exposta como o impacto de uma credencial comprometida. As organizações que combinem políticas de acesso rigorosas, monitorização ativa de tokens e formação focalizada em engenharia social estarão melhor preparadas para detectar e neutralizar esse tipo de ataques antes de causarem danos significativos.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...