ΑρχικήΤεχνολογία
Τεχνολογία

«Φοβερές Απειλές EvilTokens & AMOS: Μάρτιος 2026»

By Dimitris Marizas
0
1




Τα EvilTokens και AMOS επαναπροσδιορίζουν τις σύγχρονες επιθέσεις phishing

Δύο σημαντικές εκστρατείες απειλών που εκδηλώθηκαν τον Μάρτιο του 2026, η μία με κατάχρηση της ροής ελέγχου ταυτότητας OAuth της Microsoft για σιωπηλή παραβίαση εταιρικών λογαριασμών και η άλλη με την ανάπτυξη του infostealer AMOS, αποκαλύπτουν νέα δεδομένα στον τομέα της κυβερνοασφάλειας.

Η καινοτομία πίσω από τις καμπάνιες

Η καμπάνια EvilTokens σηματοδοτεί μια σημαντική εξέλιξη στις τακτικές phishing, καθώς παρακάμπτει την απαραίτητη διαδικασία της κλοπής κωδικών πρόσβασης. Αντί να σχεδιάσουν ψεύτικα URLs σύνδεσης, οι εισβολείς εκμεταλλεύονται τη νόμιμη ροή κώδικα της Microsoft OAuth 2.0, η οποία είχε αρχικά σχεδιαστεί για απλές συσκευές, όπως οι έξυπνες τηλεοράσεις.

Αυτή η επίθεση λειτουργεί με εξαιρετικά παραπλανητικό τρόπο. Τα θύματα λαμβάνουν μηνύματα ηλεκτρονικού “ψαρέματος” που τα προειδοποιούν να εισαγάγουν έναν κωδικό επαλήθευσης συσκευής σε μια πραγματική σελίδα της Microsoft, microsoft[.]com/devicelogin.


Μειώστε τον κίνδυνο καθυστερημένης ανίχνευσης
. Βοηθήστε την ομάδα σας να διερευνήσει γρηγορότερα με το ANY.RUN.

Αλυσίδα εκτέλεσης των EvilTokens

Αφού οι χρήστες ολοκληρώσουν την είσοδό τους και επιβεβαιώσουν την ταυτότητά τους με MFA, η Microsoft εκδίδει άμεσα πρόσβαση και ανανεώνει τα διακριτικά στον εισβολέα, καθιστώντας έτσι τις προστασίες MFA αναποτελεσματικές. Το θύμα δεν μοιράζεται ποτέ τα διαπιστευτήρια σε ψευδείς σελίδες, γεγονός που αποδυναμώνει τις παραδοσιακές μεθόδους ανίχνευσης phishing.

Σύμφωνα με αναλύσεις από το ANY.RUN, εντοπίστηκαν πάνω από 180 διευθύνσεις ηλεκτρονικού “ψαρέματος” σε μία μόνο εβδομάδα, που σχετίζονται με τη δραστηριότητα του EvilTokens, στοχεύοντας κυρίως τομείς όπως η Τεχνολογία και η Κυβέρνηση, με υψηλή δραστηριότητα στις Ηνωμένες Πολιτείες και την Ινδία.

Η πλατφόρμα Phishing-as-a-Service

Οι επιθέσεις του EvilTokens λειτουργούν σε πλατφόρμα Phishing-as-a-Service (PhaaS), διαθέσιμη μέσω Telegram, με ενσωματωμένα χαρακτηριστικά αυτοματισμού και συλλογής email, καθώς και εργαλεία υποστηριζόμενα από AI.

Σε εξελιγμένα σενάρια, οι επιτιθέμενοι χρησιμοποιούν τα αναγνωριστικά ανανέωσης που έχουν κλέψει για την υποβολή αίτησης ενός Κύριου Διακριτικού Ανανεώσεως (PRT), δίνοντάς τους μόνιμη πρόσβαση σε ολόκληρο το εύρος των εφαρμογών Microsoft 365 ενός οργανισμού.

Βασικοί δείκτες δικτύου για αναζήτηση

  • /api/device/start και /api/device/status/* σε αιτήματα HTTP προς κεντρικούς υπολογιστές που δεν ανήκουν στη Microsoft
  • X-Antibot-Token παρουσία κεφαλίδας σε ύποπτη κυκλοφορία ελέγχου ταυτότητας
  • Τομείς όπως singer-bodners-bau-at-s-account[.]workers[.]dev και dibafef289[.]workers[.]dev

macOS ClickFix: Οι χρήστες του Claude Code χτυπήθηκαν με AMOS

Μια παράλληλη καμπάνια στοχεύει τα περιβάλλοντα macOS, όπου οι εισβολείς χρησιμοποίησαν τη μέθοδο ClickFix για να επιτεθούν σε προγραμματιστές χρησιμοποιώντας εργαλεία τεχνητής νοημοσύνης.

Αυτή η στρατηγική περιλαμβάνει την αγορά διαφημίσεων στο Google, προκειμένου να ανακατευθύνονται θύματα προς ψεύτικες σελίδες τεκμηρίωσης που οδηγούν σε εντολές τερματικού, εγκλωβίζοντας τους χρήστες. Αφού εκτελούν την εντολή, η αλυσίδα μόλυνσης ξεκινά.

Η σελίδα τεκμηρίωσης του Fake Claude Code επισημαίνεται ως δέλεαρ

Στάδια της επίθεσης

  1. Ανακατεύθυνση μέσω Google Ads προς μια πλαστή σελίδα τεκμηρίωσης του Claude Code
  2. ClickFix lure δίνει οδηγίες στους χρήστες να εκτελέσουν εντολές τερματικού
  3. Λήψη κωδικοποιημένου σεναρίου που εκτελείται στο παρασκήνιο
  4. AMOS Stealer συγκεντρώνει ευαίσθητες πληροφορίες όπως διαπιστευτήρια και περιεχόμενα macOS Keychain
  5. Ανάπτυξη backdoor μέσω του ~/.mainhelper, παρέχοντας μόνιμο αντίστροφο κέλυφος.

Η εξέλιξη του ~/.mainhelper είναι ανησυχητική και επιτρέπει στους επιτιθέμενους να έχουν πλήρη πρόσβαση στο μολυσμένο σύστημα μετά την αρχική μόλυνση.

Το AMOS Stealer εντοπίστηκε από το ANY.RUN


Ενισχύστε την έγκαιρη ανίχνευση απειλών και επιταχύνετε τη διαλογή
 με ανάλυση απειλών που εμπιστεύονται 15 χιλιάδες οργανισμοί σε όλο τον κόσμο.

Οι διαδικασίες αυτές είναι εξαιρετικά καταστροφικές για εταιρικά περιβάλλοντα, καθώς οι χρήστες macOS συχνά είναι προγραμματιστές με πρόσβαση σε κρίσιμες πληροφορίες και υποδομές.

Στρατηγικές ευθυγράμμισης άμυνας

Για την αντιμετώπιση των επιθέσεων αυτών, οι οργανισμοί θα πρέπει να:

  • Εξετάσουν τα αρχεία καταγραφής σύνδεσης του Microsoft Entra ID για ύποπτες ροές
  • Εφαρμόσουν πολιτικές πρόσβασης υπό όρους
  • Ανανεώνουν τακτικά τα διακριτικά OAuth για λογαριασμούς υψηλού προνομίου

Μαζί με τις επιθέσεις EvilTokens, η καμπάνια ClickFix/AMOS επισημαίνει τη σημασία της προληπτικής ανάλυσης και ταχείας δράσης απέναντι σε αυτές τις επιθέσεις, που επωφελούνται από τις νόμιμες διαδικασίες των πλατφορμών που χρησιμοποιούμε.

Επεκτείνετε την προβολή απειλών μεταξύ πλατφορμών του SOC με το ANY.RUN.
Μειώστε τον κίνδυνο παραβίασης με τον έγκαιρο εντοπισμό απειλών
 σε Windows, macOS, Linux και Android.

Προηγούμενο άρθρο
«601 χιλ. ευρώ για τον 2ο κύκλο «Το Κόκκινο Ποτάμι»!»
Dimitris Marizashttps://starlinkgreece.gr
Μεταφράζω bits και bytes σε απλά ελληνικά. Λατρεύω την τεχνολογία που λύνει προβλήματα και αναζητώ πάντα το επόμενο "big thing" πριν γίνει mainstream.

Related Articles

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

εισάγετε το σχόλιό σας!
παρακαλώ εισάγετε το όνομά σας εδώ

- Advertisement -

Stay Connected

0ΥποστηρικτέςΚάντε Like
0ΑκόλουθοιΑκολουθήστε
0ΣυνδρομητέςΓίνετε συνδρομητής
- Advertisement -

Most Popular Articles

Φόρτωση περισσοτέρων
- Advertisement -

Latest Articles

Φόρτωση περισσοτέρων