Lo strumento EvilTokens sfrutta un difetto nel flusso di codice OAuth e compromette gli account Microsoft 365 bypassando la 2FA
Un nuovo strumento di phishing noto come EvilTokens viene utilizzato per hackerare gli account Microsoft 365. Questo kit PhaaS (phishing-as-a-service) sfrutta il flusso di concessione dell’autorizzazione del dispositivo OAuth 2.0. Invece di creare pagine di accesso false per rubare credenziali, EvilTokens utilizza come arma un processo di autenticazione legittimo, rappresentando un’evoluzione significativa nelle tattiche di furto di account.
Comprendi come EvilTokens manipola il sistema di autenticazione
I ricercatori ESET hanno dettagliato il meccanismo operativo di questo attacco. Gli aggressori inviano alle vittime esche che si presentano come fatture, documenti condivisi, inviti di calendario o richieste di accesso a SharePoint.
Quando interagisce con questi collegamenti dannosi, la vittima viene indirizzata a una pagina che richiede un codice dispositivo Microsoft, valido per soli 15 minuti.
Un diagramma che illustra questo protocollo, rilasciato da Microsoft e replicato da Sekoia, aiuta a visualizzare la complessità dell’approccio.
Il punto cruciale è che questo codice appartiene alla sessione dell’aggressore. Pertanto, la vittima concede inconsapevolmente l’autorizzazione al dispositivo dell’aggressore, non al proprio, consentendo a Microsoft di rilasciare token di accesso e aggiornamento per la sessione criminale.
Sekoia ha documentato modelli di phishing di esempio utilizzati da EvilTokens, mostrando la varietà di approcci visivi utilizzati.
Una volta ottenuto l’accesso, i criminali sono in grado di manipolare e accedere a una serie di risorse di Microsoft 365, tra cui posta elettronica aziendale, file, Teams, SharePoint e OneDrive. Ciò consente loro persino di pianificare attacchi BEC (Business Email Compromise). Questo kit di phishing è stato diffuso attraverso i canali Telegram e la sua attività è stata rilevata in attacchi attivi almeno dal febbraio 2026.
Gli alti rischi della nuova tecnica di attacco informatico
Originariamente, il flusso del codice del dispositivo OAuth era progettato per apparecchiature come smart TV o stampanti. Questi dispositivi richiedono l’autenticazione di un codice breve su una pagina Microsoft, utilizzando un altro dispositivo, che culmina nell’emissione di token di accesso per l’apparecchiatura iniziale.
Come riportato da ESET, gli aggressori hanno la capacità di generare il codice e indurre la vittima a inserirlo, mentre Microsoft percepisce il processo come un flusso di autenticazione valido. Questa particolarità rende EvilTokens particolarmente pericoloso, poiché le tradizionali difese di sicurezza focalizzate sull’identificazione di pagine di accesso fraudolente possono fallire, richiedendo una più stretta sorveglianza dei flussi di autenticazione stessi.
Leia Também
L’analisi finanziaria indica che GTA 6 ha generato 1 miliardo di dollari nella prima ora di prevendita
George Russell si assicura il secondo trionfo in Formula 1 e guida il GP d’Austria dopo aver controllato Verstappen e Antonelli
Incidente aereo in Francia uccide 11 persone su un aereo della scuola di paracadutismo
I ricercatori di sicurezza informatica hanno già documentato questo kit, con Sekoia che ne ha indicato l’utilizzo in una campagna che ha raggiunto più di 340 organizzazioni in più paesi nel marzo 2026. Inoltre, Microsoft ha descritto una campagna basata sull’intelligenza artificiale che utilizzava la generazione dinamica del codice del dispositivo per aumentare il tasso di successo degli attacchi EvilTokens.
Un punto cruciale è che l’attacco può aggirare l’autenticazione a due fattori (2FA). Ciò non avviene tramite exploit tecnici, ma piuttosto inducendo la vittima a finalizzare il processo 2FA per la sessione dell’aggressore.
Misure di sicurezza e raccomandazioni per proteggersi dal PhaaS
Microsoft consiglia di implementare criteri di accesso condizionale per bloccare il flusso del codice del dispositivo negli ambienti in cui non è essenziale.
È fondamentale che utenti e amministratori siano consapevoli di autenticazioni insolite del codice dispositivo, dispositivi sconosciuti, tentativi di accesso rischiosi, utilizzo sospetto di token e creazione di nuove regole di posta in arrivo.
All’inizio di giugno, Arctic Wolf Labs ha monitorato un’operazione PhaaS chiamata Kali365, identificata per la prima volta nell’aprile 2026, che ha iniziato a prendere di mira piattaforme tra cui Microsoft, Okta, DocuShare, AWS e MAX Messenger.
A gennaio gli account Okta SSO sono stati presi di mira da una presunta campagna di phishing del gruppo ShinyHunters, che per i suoi attacchi utilizzava kit PhaaS personalizzati.
