EvilTokens – andmepüügitööriist, mis möödub mitmikautentimisest, on oodatust ohtlikum

Cisco Talose küberturbeuurijad avaldasid uue analüüsi EvilTokensist – seadmekoodi andmepüügitööriistast, mis võimaldab kurjategijatel mööduda mitmikautentimisest (MFA) ja autentida end vaikselt ohvri Microsoft 365 rakendustes. Uued leiud näitavad, et tööriist on veelgi keerukam kui varem arvatud ning kasutab senisest arenenumaid varjamismeetodeid.

Talos avastas andmepüügiteenuse operaatoripaneeli nimega ARToken, mis näib olevat EvilTokensi klient – jagades sama taristut, API-lepinguid ja tegevusmustreid. EvilTokensi dokumenteeris esmakordselt Prantsuse küberturbefirma Sekoia märtsis, ning aprillis teatas Microsoft, et kampaania ohustab iga päev sadu organisatsioone. Microsofti turvauuringute asepresidendi Tanmay Ganacharya sõnul käivitatakse iga 24 tunni jooksul 10-15 eraldiseisvat kampaaniat.

Talos taastas kaks peaaegu identset õngitsuskirja, mis saadeti 20. aprillil 2026. Rünne kuritarvitas USA biotehnoloogiaettevõtte ja tema torutööde töövõtja tegelikku ärisuhet, kasutades tasumata arvete peibutust. Kirja “from” väli näitas töövõtja tegelikku domeeni, kuid vastused suunati mujale. Link viis võltsitud SharePointi keskkonda, mis asus siiski legitiimsel sharepoint.com hostil, vältides nii tuvastamist. ARTokeni paneel sisaldab ka ärimeili kompromiteerimise (BEC) tööriista.

Loe täispikka artiklit: The Register

Lisa kommentaar