Μια νέα και επικίνδυνη εργαλειοθήκη phishing έχει μπει στη σκηνή του εγκλήματος στον κυβερνοχώρο. Στις αρχές του 2026, μια πλατφόρμα Phishing-as-a-Service με την ονομασία EvilTokens άρχισε να κυκλοφορεί σε υπόγειες κοινότητες εγκλήματος στον κυβερνοχώρο, προσφέροντας στους εγκληματίες ένα έτοιμο προς χρήση κιτ κατασκευασμένο για την κλοπή λογαριασμών Microsoft 365.
Σε αντίθεση με τα περισσότερα εργαλεία phishing που μιμούνται τις σελίδες σύνδεσης της Microsoft, το EvilTokens υιοθετεί μια διαφορετική προσέγγιση — καταχράται τη νόμιμη ροή ελέγχου ταυτότητας κώδικα συσκευής της Microsoft για να παραχωρήσει αθόρυβα την πλήρη πρόσβαση στον λογαριασμό σε εισβολείς.
Το EvilTokens εμφανίστηκε για πρώτη φορά στα μέσα Φεβρουαρίου 2026 και υιοθετήθηκε γρήγορα από εγκληματίες του κυβερνοχώρου που επικεντρώθηκαν στις επιθέσεις Business Email Compromise (BEC) και Adversary-in-the-Middle (AitM).
Η πλατφόρμα λειτουργεί μέσω ρομπότ Telegram και εξοπλίζει συνεργάτες με πρότυπα σελίδων phishing, εργαλεία συλλογής email, δυνατότητες αναγνώρισης λογαριασμών, ενσωματωμένη διεπαφή webmail και αυτοματισμό με τεχνητή νοημοσύνη.
Ο χειριστής, γνωστός ως eviltokensadmin, ανακοίνωσε σχέδια για επέκταση της υποστήριξης στις σελίδες phishing του Gmail και της Okta στο εγγύς μέλλον.
Ερευνητές στην ομάδα Ανίχνευσης και Έρευνας απειλών Sekoia (TDR) εντόπισαν το EvilTokens τον Μάρτιο του 2026 κατά την παρακολούθηση κοινοτήτων εγκλήματος στον κυβερνοχώρο που εστιάζονται στο phishing.
Αφού ανέλυσαν τον κώδικα υποστήριξης της πλατφόρμας, οι αναλυτές του TDR επιβεβαίωσαν ότι το EvilTokens είναι το πρώτο PhaaS που είναι γνωστό ότι προσφέρει σελίδες ηλεκτρονικού ψαρέματος κώδικα συσκευών της Microsoft με κλειδί στο χέρι και αξιολόγησαν με μεγάλη βεβαιότητα ότι ο κώδικας του κιτ πιθανότατα δημιουργήθηκε από AI.
Οι καμπάνιες που συνδέονται με το EvilTokens έχουν επηρεάσει οργανισμούς σε όλη τη Βόρεια Αμερική, τη Νότια Αμερική, την Ευρώπη, τη Μέση Ανατολή, την Ασία και την Ωκεανία.
Οι χώρες που επηρεάστηκαν περισσότερο περιλαμβάνουν τις Ηνωμένες Πολιτείες, την Αυστραλία, τον Καναδά, τη Γαλλία, την Ινδία, την Ελβετία και τα Ηνωμένα Αραβικά Εμιράτα.
Οι θυγατρικές επικεντρώθηκαν στους υπαλλήλους στους τομείς των οικονομικών, του ανθρώπινου δυναμικού, των logistics και των πωλήσεων – ρόλοι που είναι πιο ευάλωτοι στην απάτη της BEC. Έως τις 23 Μαρτίου 2026, οι ερευνητές παρακολούθησαν πάνω από 1.000 τομείς που φιλοξενούσαν σελίδες phishing EvilTokens σε διάφορα θέλγητρα, όπως ψεύτικες οικονομικές αναφορές, προσκλήσεις σε συσκέψεις, ειδοποιήσεις μισθοδοσίας και κοινά έγγραφα cloud από το DocuSign, το OneDrive και το SharePoint.
Πώς το EvilTokens κλέβει λογαριασμούς Microsoft
Ο πυρήνας του EvilTokens είναι η κατάχρηση του OAuth 2.0 Device Authorization Grant της Microsoft, μιας νόμιμης ροής που έχει σχεδιαστεί για συσκευές με περιορισμένες δυνατότητες εισόδου, όπως έξυπνες τηλεοράσεις ή εκτυπωτές.
Κανονικά, μια συσκευή εμφανίζει έναν σύντομο κωδικό που εισάγει ο χρήστης σε ένα ξεχωριστό πρόγραμμα περιήγησης για έλεγχο ταυτότητας. Το EvilTokens πειράζει αυτή τη ροή ενεργώντας ως συσκευή ελέγχου ταυτότητας και εξαπατώντας τα θύματα ώστε να ολοκληρώσουν τη σύνδεση για λογαριασμό του εισβολέα.
Η επίθεση ξεκινά όταν ο εισβολέας στέλνει ένα αίτημα στο API της Microsoft για τη δημιουργία νέου κωδικού συσκευής.
.webp.jpeg)
Αυτός ο κωδικός μεταβιβάζεται στο θύμα μέσω μιας σελίδας ή συνημμένου ηλεκτρονικού ψαρέματος. Το θύμα, πιστεύοντας ότι απλώς επαληθεύει την πρόσβαση σε ένα κοινόχρηστο έγγραφο ή τιμολόγιο, επισκέπτεται την πραγματική σελίδα σύνδεσης της Microsoft και εισάγει τον κωδικό.
Μόλις ολοκληρώσουν τη σύνδεση, το σύστημα του εισβολέα λαμβάνει ένα έγκυρο διακριτικό πρόσβασης και ένα διακριτικό ανανέωσης, παρέχοντας άμεση και μακροχρόνια πρόσβαση στον λογαριασμό.
.webp.jpeg)
Το διακριτικό πρόσβασης δίνει στους εισβολείς έως και 90 λεπτά για να διαβάσουν μηνύματα ηλεκτρονικού ταχυδρομείου, να τραβήξουν αρχεία από το OneDrive και το SharePoint και να προβάλουν συνομιλίες του Teams. Το διακριτικό ανανέωσης είναι πολύ πιο επικίνδυνο — διαρκεί 90 ημέρες και ανανεώνεται κάθε φορά που χρησιμοποιείται, επιτρέποντας στους εισβολείς να διατηρούν αθόρυβη πρόσβαση χωρίς καμία νέα προτροπή σύνδεσης.
Σε προχωρημένες περιπτώσεις, το EvilTokens μετατρέπει αυτά τα διακριτικά σε Κύριο διακριτικό ανανέωσης (PRT), επιτρέποντας την αθόρυβη σύνδεση σε όλες τις εφαρμογές του Microsoft 365 χωρίς να απαιτείται κωδικός πρόσβασης ή MFA.
Οι σελίδες ηλεκτρονικού “ψαρέματος” μιμούνται υπηρεσίες όπως το Adobe Acrobat Sign, το DocuSign και το SharePoint, εξυπηρετώντας κρυπτογραφημένο περιεχόμενο μέσω αποκρυπτογράφησης AES-GCM για αποφυγή εργαλείων ασφαλείας.
Οι οργανισμοί θα πρέπει να απενεργοποιήσουν τις ροές ελέγχου ταυτότητας κωδικών συσκευής για χρήστες που δεν τις χρειάζονται χρησιμοποιώντας πολιτικές πρόσβασης υπό όρους στο Microsoft Entra ID. Οι ομάδες ασφαλείας θα πρέπει να παρακολουθούν τις συνδέσεις χρησιμοποιώντας τον τύπο παραχώρησης κωδικού συσκευής, ειδικά από άγνωστες τοποθεσίες.
Η εκπαίδευση των εργαζομένων σχετικά με τον έλεγχο ταυτότητας συσκευής είναι απαραίτητη, καθώς αυτή η επίθεση επιτυγχάνεται μόνο όταν τα θύματα δεν γνωρίζουν τι επιτρέπει στην πραγματικότητα η εισαγωγή ενός κωδικού συσκευής.
Οι Defenders μπορούν να εφαρμόσουν τον κανόνα YARA που κυκλοφόρησε από τη Sekoia για τον εντοπισμό σελίδων ηλεκτρονικού “ψαρέματος” του EvilTokens και την αναζήτηση urlscan.io και urlquery με γνωστά μοτίβα URL EvilTokens για τον εντοπισμό σχετικής υποδομής.