Μια νέα πλατφόρμα phishing-as-a-service (PhaaS) που ονομάζεται “ARToken” έχει αρχίσει να αποκαλύπτεται ως θυγατρική της γνωστής πλατφόρμας EvilTokens, επισημαίνοντας τις απειλές κατά του Microsoft 365. Ερευνητές της Cisco Talos ανακάλυψαν ότι η ARToken προσφέρει μια εκτενή εργαλειοθήκη που επιτρέπει στους εισβολείς να διαπράττουν επιθέσεις phishing με μεγαλύτερη ευκολία και αποτελεσματικότητα.
Η ανακάλυψη αυτή είναι σημαντική, καθώς οι επιθέσεις phishing αποτελούν μία από τις πιο κοινές μεθόδους για την παραβίαση λογαριασμών και την κλοπή δεδομένων. Η ARToken αποκαλύπτει όχι μόνο τις τεχνικές των εγκληματιών του κυβερνοχώρου, αλλά και τη δυνατότητα που μας δίνει ως χρήστες να παραμείνουμε σε επαγρύπνηση.
Η αναφορά των ερευνητών αποκάλυψε ένα διαχειριστικό πάνελ, ονόματι “ARToken Panel”, το οποίο παρουσιάζει περισσότερα από 80 API end-points. Η έρευνα μέσω αντίστροφης μηχανικής του JavaScript έφερε στο φως δυνατότητες που εκτείνονται πολύ πέρα από τα συνηθισμένα, καθιστώντας την ARToken μια πιο εξελιγμένη και επικίνδυνη απειλή.
Αυτή η πλατφόρμα δίνει τη δυνατότητα στους εισβολείς να κλέβουν δεδομένα σύνδεσης από χρήστες του Microsoft 365, να αποκτούν μόνιμα διακριτικά και να αποκτούν πλήρη πρόσβαση σε γραμματοκιβώτια Outlook, SharePoint sites και OneDrive αρχεία. Επίσης, περιλαμβάνει εργαλεία που αυτοματοποιούν τη διαδικασία phishing μέσω του Cloudflare Workers.
Σύμφωνα με την Έκθεση Τάλως, οι τεχνικές ομοιότητες υποδηλώνουν ότι η ARToken είναι στενά συνδεδεμένη με την EvilTokens, γεγονός που εκθέτει τη συνεχιζόμενη συνεργασία και εξέλιξη αυτών των εγκληματικών δικτύων. Πιο συγκεκριμένα, οι κλήσεις API που χρησιμοποιούνται για τις επιθέσεις αυτές έχουν ταυτιστεί με προηγούμενα incidents που σχετίζονται με την EvilTokens.
Η αναφορά ισχυρίζεται ότι οι επιθέσεις αυτές εκμεταλλεύονται τη ροή εργασιών ελέγχου ταυτότητας OAuth 2.0 Device Authorization Grant της Microsoft, χρησιμοποιώντας μια στρατηγική γνωστή ως phishing μέσω κωδικού συσκευής. Τα θύματα συνήθως εισάγουν έναν νόμιμο κωδικό συσκευής στην επίσημη σελίδα της Microsoft, οδηγώντας έτσι τα διακριτικά ελέγχου ταυτότητας να πέσουν στα χέρια των εισβολέων.

Η Sekoia ήταν η πρώτη που αναγνώρισε την EvilTokens ως εμπορική υπηρεσία phishing, προσφέροντας εγκατάσταση και μηνιαία συνδρομή. Μάλιστα, η ARToken ενσωματώνει AI για την αυτοματοποίηση των επιθέσεων, δείχνοντας πως οι εγκληματίες επενδύουν σε τεχνολογία για να βελτιώσουν τις μεθόδους τους.
Μέσα στην πλατφόρμα θυγατρικών EvilTokens
Η αναφορά του Talos παρέχει λεπτομερή εικόνα για τη λειτουργία των επιχειρημάτων που συμμετέχουν στην EvilTokens μετά από μια επιτυχή παραβίαση. Αφού ένα θύμα ολοκληρώσει τη διαδικασία ελέγχου ταυτότητας, οι χειριστές μπορούν να ανανεώσουν και να διαχειριστούν τα κλεμμένα διακριτικά, αποκτώντας επίσης πρόσβαση σε μόνιμα διακριτικά ανανέωσης.
Άλλες δυνατότητες περιλαμβάνουν τη δυνατότητα αποστολής email από παραβιασμένους λογαριασμούς, τη δημιουργία κανόνων για την προώθηση ή απόκρυψη μηνυμάτων, καθώς και την ικανότητα παρακολούθησης πολλαπλών γραμματοκιβωτίων για συγκεκριμένες λέξεις-κλειδιά.
Οι εισβολείς έχουν πρόσβαση σε όλα τα αρχεία που φυλάσσονται στα SharePoint και OneDrive, με αποτέλεσμα να διατρέχουν κίνδυνο η κλοπή δεδομένων και η διανομή κακόβουλου λογισμικού σε επόμενες επιθέσεις.

Πηγή: Cisco Talos
Η ARToken αποτελεί μια ανησυχητική εξέλιξη στην απάτη ηλεκτρονικού ταχυδρομείου, με πολλά μηνύματα να εμφανίζονται νόμιμα με σκοπό να προκαλέσουν σύγχυση στους παραλήπτες και να κλέψουν πληροφορίες.
Μόνο τον Απρίλιο, η Push Security κατέγραψε ότι οι επιθέσεις phishing μέσω κωδικού συσκευής αυξήθηκαν κατακόρυφα, με τον αριθμό των διαθέσιμων κιτ να έχει φτάσει σε ανησυχητικά επίπεδα.
Για οργανισμούς που θέλουν να προστατευτούν από τις σύγχρονες επιθέσεις phishing και τις παραβιάσεις λογαριασμών, η BleepingComputer διοργανώνει διαδικτυακό σεμινάριο με τίτλο Abnormal “Σταματήστε να κυνηγάτε τις ειδοποιήσεις: Αυτοματοποίηση της ασφάλειας email με συμπεριφορική τεχνητή νοημοσύνη.“
Το διαδικτυακό σεμινάριο θα καλύψει πώς οι εγκληματίες χρησιμοποιούν επιθέσεις για να παρακάμπτουν προφυλάξεις ασφαλείας, και πώς η συμπεριφορική τεχνητή νοημοσύνη μπορεί να βοηθήσει στην προστασία από αυτές τις απειλές.
Οι ομάδες ασφαλείας καταγράφουν το 54% των επιτυχημένων επιθέσεων και ειδοποιούν μόλις το 14%. Τα υπόλοιπα κινούνται στο περιβάλλον σας αόρατα.
Η λευκή βίβλος Picus δείχνει πώς η προσομοίωση παραβίασης και επίθεσης δοκιμάζει τους κανόνες SIEM και EDR σας, έτσι ώστε οι απειλές να σταματήσουν να ξεφεύγουν από τον εντοπισμό.



