ARToken permite roubo de login do Microsoft 365. O painel de phishing do Microsoft 365 usa o fluxo de código de dispositivo OAuth para capturar tokens e manter o acesso.
Um painel de phishing recém-descoberto, chamado ARToken, está oferecendo aos cibercriminosos uma maneira fácil de roubar sessões de login do Microsoft 365 sem precisar tocar em uma senha.
A ferramenta funciona explorando uma funcionalidade legítima de login da Microsoft destinada a dispositivos sem teclado ou navegador, enganando as vítimas para que aprovem o login em nome do atacante.
Assim que essa aprovação ocorre, o atacante obtém um token de sessão funcional, sem a necessidade de autenticação de dois fatores.
O que diferencia o ARToken não é apenas o roubo em si, mas o que acontece depois. O painel oferece aos criminosos um conjunto de ferramentas com mais de oitenta funções, que abrangem desde a atualização de tokens roubados até a leitura completa da caixa de entrada de e-mails da vítima.
Oferece até mesmo ferramentas para navegar e baixar arquivos do SharePoint e do OneDrive, transformando um único login roubado em uma porta de entrada para comprometimentos mais profundos.
Em um relatório compartilhado com o Cyber Security News (CSN), a Cisco Talos afirmou ter identificado o painel durante uma investigação sobre infraestrutura de phishing relacionada a um caso de resposta a incidentes, e rastreado seu código até um painel de gerenciamento em tempo real que expunha publicamente todo o seu conjunto de ferramentas.
O painel compartilha infraestrutura, padrões de codificação e comandos de backend idênticos com o EvilTokens, uma plataforma de phishing como serviço documentada no início deste ano por pesquisadores da Sekoia e posteriormente confirmada pela Microsoft como uma ameaça em larga escala.
Quando a Microsoft reconheceu a dimensão desses ataques de código em dispositivos, os pesquisadores já haviam rastreado aproximadamente 500 domínios do Cloudflare Workers e mais de 2.000 páginas de phishing ligadas à operação mais ampla do EvilTokens.
Os afiliados visavam funcionários das áreas financeira, de recursos humanos e de logística em diversas regiões, frequentemente utilizando mensagens geradas por IA e personalizadas para cada vítima.
A ARToken parece ser uma ramificação reformulada ou intimamente relacionada desse mesmo ecossistema criminoso, criada para afiliados que desejam uma interface mais sofisticada e ferramentas mais robustas para lidar com violações de segurança.
O painel de phishing do Microsoft 365 usa o fluxo de código de dispositivo OAuth.
O ataque geralmente começa com um e-mail convincente que se faz passar por um contato real de um fornecedor, em vez de inventar uma empresa falsa do zero.
Em um dos casos analisados pelos pesquisadores, a mensagem falsificava o contato do departamento de contas a pagar de uma empresa contratada legítima e direcionava o destinatário para o que parecia ser um link genuíno para um arquivo do SharePoint relacionado a uma fatura em aberto.
O texto do link visível apontava para o tenant SharePoint real do fornecedor, mas o destino real redirecionava silenciosamente para um espaço de trabalho quase idêntico, controlado pelo atacante.
Como o link ainda direcionava para um endereço sharepoint.com legítimo, ele transmitia a confiança normalmente associada a essa plataforma, o que ajudou a burlar os filtros de spam e a enganar leitores cautelosos.
Ao clicar, a vítima é direcionada para uma página de login falsa de um dispositivo Microsoft , mostrada abaixo na própria interface do painel.
.webp)
Em seguida, o kit exibe um código do dispositivo e pede ao usuário que o insira na página real microsoft.com/devicelogin, uma etapa que parece rotineira para qualquer pessoa que já tenha configurado uma smart TV ou um aplicativo de streaming.
Após o login, o sistema captura silenciosamente um token de acesso válido sem solicitar uma senha.
Mecanismos integrados de evasão e persistência
Antes que qualquer coisa disso aconteça, o kit de phishing executa um processo de triagem de sete camadas, projetado para filtrar scanners de segurança e bots automatizados.
Ele verifica as impressões digitais do navegador, observa os movimentos naturais do mouse e espera quase um segundo inteiro antes de ativar, numa tentativa de convencer a página de que está lidando com um humano real.
O token roubado em si é apenas o começo. O ARToken pode ampliar esse acesso inicial para uma credencial de maior duração, conhecida como token de atualização primário, que continua funcionando mesmo depois que a vítima altera sua senha.
.webp)
Essa escolha de design diferencia esse ataque dos métodos de phishing mais antigos, já que uma redefinição de senha normal impediria o acesso do invasor.
A partir daí, os operadores podem ler toda a caixa de entrada de e-mail da vítima, enviar mensagens que parecem vir da conta comprometida e criar silenciosamente regras na caixa de entrada que ocultam ou encaminham evidências da intrusão.
As equipes de segurança devem tratar solicitações inesperadas de códigos de dispositivos com suspeita e confirmar pedidos incomuns de faturas ou documentos por meio de um canal separado e confiável antes de agir.
Indicadores de Compromisso (IoCs):-
| Tipo | Indicador | Descrição |
|---|---|---|
| Domínio | dashboard-bl.pamconj[.]com | Painel de gerenciamento ARToken hospedando o painel de controle do operador baseado em React. |
| Domínio | spx.pamconj[.]com | Endpoint da API de comando e controle para o kit de phishing ARToken |
| Domínio | clear90489058903-document.workers[.]dev | Conta do Cloudflare Workers usada para implantar iscas de phishing. |
| URL | https[:]//mononapfp.sharepoint[.]com/:f:/document/INV-IgCx1X50pgUjR7iAjZL2fuQaAW4GfKVs6wHT3BYv9sgwW7g | Link âncora visível disfarçado de locatário SharePoint legítimo do fornecedor |
| URL | https[:]//mononapfpcom.sharepoint[.]com/:f:/g/IgAdH_aaBPMcQbtINZzC1TsLARj3dHj63MnKjvnY-QJrKEc | Inquilino do SharePoint controlado pelo atacante, usado para redirecionamento. |
| Arquivo | encanador.png | A imagem da assinatura embutida em e-mails de phishing é usada para criar mutações de conteúdo. |
| Identificador | 84eb384d-cd3e-4c90-a283-c960ce557913 | UUID do operador embutido usado em chamadas de API de código de dispositivo |
| Chave de armazenamento | artoken_jwt | A chave do LocalStorage foi usada para roubar tokens JWT existentes para correlação de sessão. |
Nota: Os endereços IP e domínios são intencionalmente desativados (por exemplo, `example.com` [.]) para evitar resolução acidental ou criação de hiperlinks. Reative-os somente em plataformas de inteligência contra ameaças controladas, como MISP, VirusTotal ou seu SIEM .
Fonte: CyberSecurityNews
Clique e fale com representante oficial Netwrix Endpoint Protector
Veja também:
- Segurança de aplicações na era da IA: estamos de olhos vendados
- Novo serviço de phishing da Bluekit burla a autenticação multifator
- Vulnerabilidade crítica no python.org permite requisições de API como Admin
- Ataques com ransomwares fizeram 791 vítimas em maio
- O Fantasma na Máquina: o desafio das alucinações de IA na segurança corporativa
- Sem usar vírus, golpe que engana funcionários se multiplica por 37
- Estratégia de cibersegurança vira pilar de sobrevivência para empresas
- IA leva à descoberta de nova técnica de ransomware
- Judiciário brasileiro combate ataques com tecnologia de alta performance
- Altos riscos da segurança em data centers
- IA, ameaças nacionais e cenário global redefinem estratégias de defesa
- Ataques cibernéticos ampliam preocupação do mercado de resseguros

Be the first to comment