AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Nuevo kit EvilTokens facilita el secuestro de cuentas Microsoft y amplía ataques BEC avanzados

admin

Introducción

El ecosistema de amenazas dirigido a plataformas cloud y servicios empresariales ha evolucionado de forma significativa en los últimos meses. Una de las tendencias más preocupantes es el uso de kits de phishing cada vez más sofisticados, orientados a eludir mecanismos de autenticación modernos y explotar brechas en los flujos de acceso legítimos. En este contexto, se ha detectado la aparición de “EvilTokens”, un nuevo kit malicioso que integra funcionalidades inéditas para el robo de tokens y la suplantación de dispositivos, permitiendo el secuestro de cuentas Microsoft y facilitando ataques de compromiso de correo electrónico empresarial (Business Email Compromise, BEC) con un alto grado de automatización y evasión.

Contexto del Incidente o Vulnerabilidad

Los ataques BEC han experimentado un crecimiento sostenido, representando en 2023 pérdidas globales superiores a los 2.700 millones de dólares, según datos del FBI (IC3 Report). El aumento del uso de soluciones Microsoft 365 en entornos corporativos ha convertido a estas plataformas en un objetivo prioritario para actores maliciosos, que buscan superar controles de autenticación multifactor (MFA) y detectores de anomalías de acceso.

EvilTokens emerge en este panorama como una herramienta “as-a-service” comercializada en foros clandestinos, dirigida tanto a grupos de ciberdelincuentes organizados como a actores individuales. Su principal atractivo radica en la integración de técnicas de device code phishing, una variante que explota el flujo OAuth 2.0 Device Authorization Grant, comúnmente utilizado en integraciones legítimas entre dispositivos y servicios cloud.

Detalles Técnicos

EvilTokens se distribuye como un paquete listo para desplegar en infraestructuras de phishing, compatible con frameworks como Metasploit y Cobalt Strike, y emplea múltiples TTPs (Tácticas, Técnicas y Procedimientos) alineadas con el framework MITRE ATT&CK:

– **T1566.002 (Phishing: Spearphishing Link)**: El kit genera enlaces personalizados que simulan procesos legítimos de autorización de dispositivos Microsoft.
– **T1114 (Email Collection)** y **T1078 (Valid Accounts)**: Una vez obtenidos los tokens, el atacante accede a correos, archivos y recursos de la cuenta comprometida, facilitando ataques BEC o movimientos laterales.
– **T1550.003 (Use Alternate Authentication Material: OAuth Tokens)**: EvilTokens intercepta y reutiliza tokens OAuth válidos, incluso en entornos protegidos por MFA, gracias a la manipulación del flujo de device code.
– **IoC conocidos**: URLs de phishing con patrones similares a “login.microsoftonline.com/devicelogin”, payloads de scripts automatizados en Python y registros anómalos en Azure AD que reflejan accesos desde ubicaciones o dispositivos no habituales.

El kit soporta la extracción y reutilización de refresh tokens, permitiendo el acceso persistente y renovado sin requerir credenciales adicionales. Según los análisis de laboratorios de ciberseguridad, EvilTokens es compatible con versiones de Microsoft 365 y Azure AD posteriores a 2022, aumentando el radio de acción frente a organizaciones que no han implementado políticas restrictivas de acceso condicional.

Impacto y Riesgos

El uso de EvilTokens representa una amenaza crítica para empresas que basan su seguridad en flujos OAuth y MFA estándar. El secuestro de cuentas Microsoft permite la manipulación directa de comunicaciones corporativas, la ejecución de fraudes BEC y el acceso a información confidencial (PII, datos financieros, propiedad intelectual).

Se estima que, en campañas recientes, hasta un 30% de los usuarios expuestos a device code phishing han sido víctimas, debido a la apariencia legítima de los flujos y la ausencia de alertas inmediatas en los paneles de administración de Microsoft. Los riesgos incluyen:

– Pérdida financiera directa e indirecta (fraudes, rescates, sanciones por incumplimiento de GDPR o NIS2).
– Daño reputacional y pérdida de confianza de clientes y socios.
– Persistencia y escalado de privilegios en entornos cloud híbridos.

Medidas de Mitigación y Recomendaciones

Para mitigar la amenaza de EvilTokens y ataques similares se recomienda:

1. **Implementar políticas de acceso condicional estrictas** en Azure AD, limitando el uso del flujo de device code únicamente a dispositivos y ubicaciones gestionadas.
2. **Auditar y monitorizar logs de autenticación** en busca de patrones anómalos, especialmente accesos mediante tokens OAuth fuera de lo habitual.
3. **Formar a los empleados** sobre riesgos de flujos de autorización y phishing avanzado, actualizando campañas de concienciación con ejemplos de device code phishing.
4. **Deshabilitar el Device Authorization Grant** en aplicaciones que no lo requieran explícitamente.
5. **Aplicar detección y respuesta gestionada (MDR)** para monitorizar en tiempo real la actividad en plataformas Microsoft 365 y Azure.
6. **Actualizar y revisar la configuración de MFA**, priorizando métodos resistentes a phishing (por ejemplo, FIDO2, passkeys).

Opinión de Expertos

Especialistas de empresas de ciberseguridad como Mandiant y Proofpoint coinciden en que los ataques basados en device code phishing representan una evolución preocupante en el arsenal de los actores de amenazas. “La explotación de flujos OAuth legítimos, como el device code, revela una brecha en la seguridad centrada únicamente en MFA y subraya la necesidad de controles contextuales y segmentación de accesos”, señala David Martínez, analista de amenazas en CyberSec Labs.

Implicaciones para Empresas y Usuarios

El auge de herramientas como EvilTokens obliga a las organizaciones a revisar sus arquitecturas Zero Trust, reforzar la monitorización de accesos y proteger tanto la identidad como el ciclo de vida de los tokens. La exposición a ataques BEC y el cumplimiento de normativas como GDPR o NIS2 requieren una gestión proactiva de incidentes y la revisión continua de las configuraciones en servicios cloud.

Conclusiones

La irrupción de EvilTokens demuestra que los atacantes continúan innovando en la explotación de mecanismos de autenticación y autorización. Ante la sofisticación de estos kits, las empresas deben adoptar estrategias multifacéticas que incluyan tecnología, formación y respuesta ágil para mitigar riesgos y proteger activos críticos.

(Fuente: www.bleepingcomputer.com)