TokyoBlackHatNews

bleepingcomputer.com 5分で読了

デバイスコードフィッシング攻撃が37倍に急増、新しいキットがオンラインで拡散

Image

OAuth 2.0デバイス認可グラント フローを悪用してアカウントをハイジャックするデバイスコードフィッシング攻撃は、今年37倍以上に増加しています。

このタイプの攻撃では、脅迫者がサービスプロバイダーにデバイス認可リクエストを送信し、コードを受け取ります。このコードは様々な口実の下、被害者に送信されます。

その後、被害者は正規のログインページでコードを入力するよう騙され、これにより攻撃者のデバイスが有効なアクセストークンとリフレッシュトークンを通じてアカウントへのアクセスを認可することになります。

このフローは、アクセス可能な入力オプションを持たないデバイス(IoTデバイス、プリンター、ストリーミングデバイス、スマートテレビなど)の接続を簡素化するために設計されました。

Image

デバイスコードフィッシング技術は2020年に最初に文書化されましたが、悪意のある悪用は数年後に記録され、国家的ハッカーと経済的動機のある者の両方によって使用されています [123, 4]。

Push Securityの研究者は、これらの攻撃の使用に大幅な増加が見られると報告し、サイバー犯罪者によって広く採用されていることを警告しています。

「3月初旬(2026年)、私たちの研究チームが検出したデバイスコードフィッシングページは今年15倍増加しており、複数のキットとキャンペーンが追跡されています。EvilTokensとして識別されたキットが最も目立っています。その数字は現在37.5倍に上昇しています。」 – Push Security

今週初め、脅威検出・対応企業のSekoia はEvilTokensフィッシング・アズ・ア・サービス(PhaaS)操作に関する研究を発表しました。研究者は、それが「民主化」するフィッシングキットの顕著な例であり、技術力の低いサイバー犯罪者がアクセスできるようにしていることを強調しています。

Pushは、EvilTokensがこの技術の主流採用の主な推進力であることに同意していますが、同じ市場で競争している他のプラットフォームが複数あることに注意しており、法執行によってEvilTokensが破壊された場合には、より目立つようになる可能性があります:

  1. VENOM – デバイスコードフィッシングとAiTM機能の両方を提供するクローズドソースPhaaS キット。デバイスコンポーネントはEvilTokensクローンのようです。
  2. SHAREFILE – Citrix ShareFileドキュメント転送をテーマにしたキット。ノードベースのバックエンドエンドポイントを使用してファイル共有をシミュレートし、デバイスコードフローをトリガーします。
  3. CLURE – 回転するAPIエンドポイントとアンチボットゲートを使用するキット。SharePointをテーマにしたルアーとDigitalOceanのバックエンドインフラストラクチャを備えています。
  4. LINKID – Cloudflareチャレンジページと自己ホストAPIを活用するキット。Microsoft TeamsとAdobeをテーマにしたルアーを使用しています。
  5. AUTHOV – workers.devでホストされているキット。ポップアップベースのデバイスコード入力とAdobeドキュメント共有ルアーを使用しています。
  6. DOCUPOLL – GitHub PagesとWorkers.devでホストされているキット。DocuSignワークフローを模倣しており、実ページの注入されたレプリカを含みます。
  7. FLOW_TOKEN – Workers.devでホストされているキット。Tencent Cloudバックエンドインフラストラクチャを使用しており、HRおよびDocuSignをテーマにしたルアーとポップアップベースのフローがあります。
  8. PAPRIKA – AWS S3でホストされているキット。Microsoft ログインクローンページとOffice 365ブランディング、および偽のOktaフッターを使用しています。
  9. DCSTATUS – 汎用的なMicrosoft 365「セキュアアクセス」ルアーと限定的な可視インフラストラクチャマーカーを備えた最小限のキット。
  10. DOLCE – Microsoft PowerAppsでホストされているキット。Dolce & Gabbanaをテーマにしたルアーがあり、広く使用されているというよりは、ワンオフまたはレッドチームスタイルの実装の可能性があります。

Push Securityはまた、DOCUPOLLキットがどのように機能するかを示すビデオも公開しました。脅迫者はDocuSignブランディングを使用し、契約書の疑いのあるルアーを使用して、被害者にMicrosoft Officeアプリケーションにサインインするよう求めます。

合計すると、このタイプの攻撃を提供する少なくとも11のフィッシングキットがあり、すべてが現実的なSaaSをテーマにしたルアー、アンチボット保護を使用し、ホスティングのためにクラウドプラットフォームを悪用しています。

デバイスコード フィッシング攻撃をブロックするために、Push Securityは、必要でない場合はアカウント上の条件付きアクセスポリシーを設定してフローを無効化することをユーザーに勧めています。

また、予期しないデバイスコード認証イベント、異常なIPアドレス、およびセッションのログを監視することもお勧めします。

翻訳元: https://www.bleepingcomputer.com/news/security/device-code-phishing-attacks-surge-37x-as-new-kits-spread-online/

ソース: bleepingcomputer.com
#EvilTokens #Microsoft 365 #OAuth 2.0 #アカウントハイジャック #クラウドセキュリティ #クレデンシャル窃取 #デバイスコードフィッシング #フィッシング・アズ・ア・サービス #フィッシング攻撃 #認証セキュリティ

関連記事

MicrosoftのCoreutilsプロジェクト、LinuxコマンドをWindowsにネイティブ移植

OpenAI、GPT-5.5をアップグレード——レガシーモデルの廃止計画も発表

重大なKirki脆弱性、WordPress管理者アカウント乗っ取りに悪用