EvilTokensは、従来の認証情報フィッシングではなくOAuthデバイスコードフローを悪用してMicrosoftアカウント乗っ取りを産業化する新しいPhishing-as-a-Service(PhaaS)プラットフォームです。
本サービスは、2026年2月中旬以来積極的に使用されているターンキー型Microsoftデバイスコードフィッシングキットを販売しており、Adversary-in-the-Middleフィッシングおよびビジネスメールコンプロミスを専門とするグループに急速に採用されています。
単純なトークン盗難以上に、EvilTokensはアクセスの「武器化」、メール収集、偵察、組み込みウェブメールインターフェース、BECワークフローを合理化するためのAI駆動オートメーションなどの機能をバンドルしています。
2026年3月、Sekioaの脅威検出・研究(TDR)チームはEvilTokensを特定しました。これはフィッシングに特化したサイバー犯罪コミュニティを監視している最中のことです。
この作業は完全機能を備えたTelegramボットを通じて実行されており、オペレータは将来のバージョンでフィッシングページをGmailおよびOktaに拡張する予定です。
デバイスコードフィッシングの仕組み
EvilTokensは、スマートテレビやプリンタなどのフルログイン体験を表示できないデバイス用に本来設計されたOAuth 2.0 デバイス認可付与を悪用してMicrosoft 365をターゲットにします。
正規フローでは、デバイスが /oauth2/v2.0/devicecode を呼び出して device_code と人間が読める user_code を取得し、ユーザーが microsoft.com/devicelogin にアクセスしてそのコードを入力し、その後Microsoftがテナントの /oauth2/v2.0/token エンドポイント経由で access_token と refresh_token を発行します。
デバイスコードフィッシングはこの分割認証モデルを悪用します。攻撃者はデバイスコードリクエストを開始してから、被害者を騙して本物のMicrosoftページに攻撃者の user_code を入力させるのです。
被害者がサインインとMFAを完了すると、攻撃者はトークンエンドポイントをサイレントにポーリングして、選択されたMicrosoftサービスの有効なアクセストークンおよび更新トークンを取得します。
これらのトークンは即座アクセスと長期的な存続の両方を可能にします。短命のアクセストークンは通常約1時間有効であり、攻撃者がフィッシング直後にメール、ファイル、またはTeamsデータを読み取ることができます。
更新トークンはローリング90日トークンで、追加のプロンプトなしに新しいアクセストークンをサイレントに生成できるため、トークンが取り消されない限り、攻撃者に永続的でMFA耐性のあるアクセスを与えます。
より高度なシナリオでは、盗まれた更新トークンを使用してEntra IDに新しいデバイスを登録し、プライマリ更新トークンを取得して、他のMicrosoft 365アプリケーション全体でのシームレスなシングルサインオンと水平移動が可能になります。
EvilTokensはアフィリエイトに、Adobe Acrobat Sign、DocuSign、OneDrive、SharePoint、ボイスメールポータル、パスワード期限切れアラートなどの身近なサービスになりすました自己ホスト型フィッシングテンプレートを提供します。
各ページは確認コード、段階的な指示、および「Microsoftに続ける」ボタンを表示し、ブランドの囮に頼ってユーザーに信頼できないコードに関する警告を無視させるため、ポップアップで本物のMicrosoftデバイスログインページを開きます。
内部的には、HTMLは空のコンテナとbase64エンコードされたコンテンツを取得し、Web Crypto APIを介してAES-GCMで復号化して結果をインジェクトするスクリプトに削減され、静的検出と分析が複雑化します。
単一のバックエンドJavaScriptがデバイスコードの開始からセキュリティ侵害後の悪用まで、攻撃チェン全体を処理します。
/api/device/start および /api/device/status/:sessionId などのRESTエンドポイントはMicrosoftのデバイスおよびトークンAPIへの呼び出しをプロキシし、キャプチャされたアクセスおよび更新トークンを保存し、Telegramを介してオペレータに通知し、更新トークンをプライマリ更新トークンに自動的に変換しようとします。
追加APIはMicrosoft Graphによる偵察、Azureサブスクリプション列挙、ワンクリックブラウザSSOハイジャック用の x-ms-RefreshTokenCredential クッキーの生成、およびOWAセッションと関連クッキーの作成をサポートします。
Sekioaはバックエンドがきれいに構造化されており、重くAI生成されている可能性があることに注目しており、これは最新のツーリングがいかに複雑なトークン悪用パイプラインの構築の障壁を低くするかを反映しています。
グローバルキャンペーンと被害者学
Sekioaのテレメトリは、EvilTokensがQRコードを埋め込んだまたはデバイスコードフィッシングページへのリンクを配布するPDF、HTML、XLSX、SVG、DOCXの添付ファイルの広範なフィッシングキャンペーンで既に使用されていることを示しています。
ルアーは主に投資デッキ、会議招待、配送通知、給与変更、「安全なドキュメント」通知などのテーマを持つ財務、人事、ロジスティクス、販売スタッフをターゲットにしており、プラットフォームが提供するテンプレートを密接に反映しています。
2026年3月19日までに、アナリストは数十の異なるルアードキュメントをカタログ化し、アメリカ大陸、ヨーロッパ、中東、アジア、オセアニア全体で被害者を観察しており、米国、オーストラリア、カナダ、フランス、インド、スイス、UAEが最も影響を受けた国です。
インフラストラクチャ分析は、1,000以上のドメインがEvilTokensページをホストしていることを示唆しており、Adobe、DocuSign、OneDrive、SharePointなどのブランドに関連した予測可能なパターンに一致する多くのCloudflare Workersサブドメインを含めます。
コンテンツ側では、SekioaはフィッシングHTML内の特性的なAES-GCM復号化ロジックに一致するYARAルールをリリースしました。
防御者は複数の具体的なハンティング機会があります。ネットワークレベルでは、EvilTokensページが /api/device/start および /api/device/status/<SESSION_ID> を繰り返し呼び出し、秘密、タイムスタンプ、文字列「antibot」のSHA256ハッシュである値を持つ特徴的な X-Antibot-Token HTTPヘッダーが必要です。
これらのURLおよびヘッダーパターンを使用したurlscan.ioおよびurlqueryに対するクエリは、既に数百のEvilTokens関連のURLを表面化させています。
迅速な採用、オートメーション機能、および従来のユーザー名-パスワードフィッシング制御をバイパスする能力を考えると、Sekioaはでは、EvilTokensがフィッシングおよびBECエコシステムの主要な競争相手になると評価しており、TelegramベースのオーケストレーションおよびAI強化された詐欺ツールに関するさらなるレポートが約束されています。
翻訳元: https://gbhackers.com/eviltokens-launches-phishing/
