Criar conta grátis
Segurança Digital

EvilTokens: O novo patamar de phishing que burla MFA e domina seu Microsoft 365

O kit de phishing EvilTokens evoluiu para uma plataforma completa de comprometimento de e-mail corporativo. Entenda como ele burla o MFA e o que muda na sua segurança.

EvilTokens: O novo patamar de phishing que burla MFA e domina seu Microsoft 365
0:00 / 0:00

A evolução do phishing: o que é o EvilTokens

O cenário de ameaças para quem opera com ecossistemas Microsoft 365 mudou. O EvilTokens, um kit de phishing focado em roubo de tokens de sessão, provou ser muito mais perigoso do que as análises iniciais sugeriam. Diferente de ataques de força bruta, ele utiliza técnicas avançadas para contornar a autenticação multifator (MFA), permitindo que invasores autentiquem-se silenciosamente como se fossem o usuário legítimo.

Pesquisadores da Cisco Talos identificaram que o que antes parecia ser apenas uma ferramenta isolada, hoje funciona como um ecossistema completo de Business Email Compromise (BEC). A ameaça agora conta com painéis de operação sofisticados e uma infraestrutura que compartilha padrões de API com o ecossistema conhecido como "ARToken".

Como o ataque chega até a sua caixa de entrada

Ao contrário da estratégia de "spray-and-pray" (disparo em massa), o EvilTokens é cirúrgico. A análise de incidentes revelou que os atacantes abusam de relações comerciais reais. Em um caso documentado, o e-mail de phishing utilizava o domínio legítimo de um prestador de serviços para enviar uma fatura pendente à vítima.

O perigo está na manipulação dos links. O texto âncora exibido no e-mail aponta para um SharePoint real, mas o link oculto (href) redireciona o usuário para um ambiente controlado pelo atacante. Como o destino final ainda é um host legítimo do sharepoint.com, os filtros de segurança tradicionais falham em identificar a fraude.

O impacto operacional: muito além do roubo de senha

O EvilTokens não para no acesso inicial. Uma vez dentro da conta, o kit oferece um conjunto de ferramentas pós-exploração que transforma o ataque em uma operação de espionagem permanente:

  • Monitoramento de e-mails: leitura completa da caixa de entrada do Outlook.
  • Persistência: criação de regras de encaminhamento e exclusão automática de mensagens para esconder rastros.
  • Exfiltração: envio de e-mails em nome da vítima para ampliar a rede de infecção.
  • Busca por palavras-chave: monitoramento ativo de termos específicos em toda a conta comprometida.

Para quem gerencia infraestrutura ou times, isso significa que a segurança baseada apenas em MFA não é mais suficiente contra adversários que capturam tokens de sessão ativos. A governança de dados e a vigilância sobre comportamentos anômalos de login tornaram-se vitais.

Como se proteger na prática

A sofisticação das campanhas — que chegam a disparar 15 ondas de ataques a cada 24 horas — exige uma mudança de postura. A validação de remetentes e a checagem rigorosa de links não são mais apenas boas práticas, mas necessidades de sobrevivência.

Para times que ainda gerenciam suas operações e contatos de forma descentralizada em planilhas e e-mails soltos, o risco de ser pego em um golpe desses é maior. Plataformas como o Orqueza centralizam a operação em um ambiente controlado, permitindo que a equipe mantenha o fluxo de trabalho sem a necessidade de expor credenciais em fluxos de e-mail vulneráveis ou pouco estruturados.

Fonte: theregister.com

Cansado de planilhas e ferramentas soltas?

Centralize clientes, projetos, CRM, financeiro e equipe em uma só plataforma. Comece grátis em 2 minutos, sem cartão.

Criar conta grátis →