Phishing "moderno" I: EvilTokens obtiene accesos abusando de un mecanismo legítimo
Esta novedosa campaña de phishing, detectada por el equipo de Sekoia y con gran actividad en marzo de 2026, ya no se vale de un mail falso, una página clonada y del robo de credenciales.
En este esquema, es la víctima la que ingresa a un sitio real, interactúa con la infraestructura legítima de Microsoft, donde el proceso de autenticación utiliza servicios oficiales: la autenticación es válida y es la propia víctima quien autoriza el acceso. El ciberatacante no roba la contraseña para ingresar, sino que obtiene tokens de sesión legítimos emitidos por el proveedor de identidad.
De este modo, el ciberatacante obtiene una sesión legítima, autenticada correctamente, con el multifactor de autenticación (MFA) aprobado y hasta emitida por Microsoft. Y todo ello sin la necesidad de robar una contraseña o vulnerar a la plataforma, ya que es la víctima quien autoriza el acceso.
¿Qué es EvilTokens?
EvilTokens es una plataforma de Phishing as a Service que busca comprometer cuentas de Microsoft 365, incluso aquellas con multifactor de autenticación activado, abusando del flujo de código de dispositivo OAuth.
Los cibercriminales engañan a la víctima para que completen el proceso de
autenticación en las páginas oficiales de inicio de sesión de Microsoft. De
esta forma logran acceder a los recursos y datos sin levantar sospechas, como
si se tratara de una actividad habitual de la víctima.
Esta
campaña, activa desde al menos febrero de 2026, circula a través de canales de
Telegram. Solo durante marzo, según publica Huntress, afectó
casi 350 organizaciones, con especial foco en Estados Unidos, Canadá, Australia, Nueva Zelanda y
Alemania.
Desde mediados de marzo de 2026, Microsoft observó el lanzamiento de entre 10 y 15 campañas distintas cada 24 horas.
El ataque: paso a paso
Para comprender de qué manera opera EvilTokens, detallaremos el paso a paso del ataque.
1. Validación
El ciberatacante, primero, verifica si la cuenta realmente existe. ¿Cómo? A través de una función legítima de Microsoft, que permite confirmar su existencia. Este reconocimiento previo suele hacerse varios días antes del phishing, para asegurarse de atacar únicamente cuentas válidas y aumentar las chances de éxito.
2. Inicio de autenticación
El ciberdelincuente genera un pedido de acceso legítimo, valiéndose del flujo OAuth Device Code de Microsoft. Dicho de una manera más llana, "abre" una sesión para la cual Microsoft genera un código temporal, que queda a la espera de la autorización. Esto es clave: ese código es el que queda asociado a la sesión del ciberatacante.
3. El engaño
Luego, el ciberatacante envía a la víctima un mensaje convincente a través del correo, una invitación, un supuesto documento o una alerta corporativa. Para eso utiliza frases anzuelo del tipo "Complete la validación en Microsoft", "Tienes un documento pendiente", "Firma requerida", entre otras excusas.
4. Ingreso a Microsoft
Si la víctima cae en el engaño y hace clic en el enlace, será redirigida al portal real de Microsoft, donde tanto el dominio como el flujo de autenticación son genuinos, lo que hace que el ataque resulte especialmente convincente.
5. Ingreso del código
Este paso es crítico, ya que el código NO pertenece a una acción iniciada por la víctima, sino a la sesión que inició previamente el ciberatacante. Así, y sin saberlo, la víctima está vinculando su cuenta a la sesión del actor malicioso.
6. Aprobación del acceso
Debido a la acción que se desencadena tras el ingreso del código, Microsoft interpreta que el usuario autorizó esta sesión. Por ello, emite access tokens (credenciales temporales que permiten acceder a una cuenta ya autenticada sin volver a ingresar usuario y contraseña) y refresh tokens (de mayor duración, que permiten generar nuevos access tokens de forma automática). La mala noticia es que esos tokens se entregan a la sesión que controla el ciberatacante.
La clave del ataque de EvilTokens
OAuth Device Code Flow, esa es la clave del éxito del ataque de EvilTokens. O, mejor dicho, el
abuso de ese mecanismo legítimo de autenticación de Microsoft.
Diseñado
para dispositivos con capacidades limitadas (léase Smart TVs, impresoras o
equipos IoT), permite iniciar sesión manualmente en los casos en los que puede
resultar incómodo.
¿Cómo funciona? Un dispositivo solicita el código, el usuario ingresa a la página de Microsoft e introduce el código recibido. Luego, Microsoft valida la autenticación y emite tokens de acceso para el dispositivo.
El problema aparece cuando el flujo es abusado por un ciberatacante, el cual logra generar device codes para luego distribuirlos a través de campañas de phishing.
Si la víctima no identifica que se trata de un engaño e ingresa el código en el portal legítimo, Microsoft entregará tokens válidos, pero asociados a la sesión controlada por el ciberatacante.
¿Por qué EvilTokens es tan peligroso?
EvilTokens es especialmente peligroso porque no presenta las "banderas rojas" clásicas del phishing: no utiliza dominios sospechosos ni presenta errores visuales o gramaticales. Por el contrario, todo en el flujo es técnicamente legítimo: el sitio, el MFA y el proceso de autenticación.
Dicho en otras palabras, al ocurrir dentro de la infraestructura de Microsoft, la víctima confía y no sospecha que se trata de un engaño.
Otro punto crítico sobre la peligrosidad de EvilTokens es que, cuando el
ataque es efectivo, el cibercriminal obtiene acceso persistente a correos
electrónicos y documentos corporativos, lo que abre la posibilidad concreta de
realizar fraudes especialmente dirigidos o del tipo business email compromise
(BEC).
En este contexto, no resulta casual que las
áreas predilectas
a las que apuntan los cibercriminales sean los departamentos de Finanzas,
Recursos Humanos, Logística, así como también cargos ejecutivos.
Fuente: WeLiveSecurity


0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!