Uma recente campanha maliciosa conhecida como EvilTokens está a atingir empresas nos Estados Unidos e na Europa. De acordo com o site The Hacker News, esta vaga de ataques expõe uma falha grave na segurança dos emails através de uma técnica apelidada de “phishing fantasma”. O método mantém a página maliciosa oculta até que esta seja desencriptada e ganhe vida directamente no equipamento da vítima.
Uma ameaça invisível nas caixas de correio
O ataque EvilTokens demonstra como uma hiperligação pode parecer inofensiva durante uma inspecção inicial, mas acabar por resultar no roubo de contas do Microsoft 365. O kit utiliza o sistema de autenticação de dispositivos da Microsoft para convencer as vítimas a concluir um processo de início de sessão legítimo. Desta forma, os utilizadores autorizam o acesso às suas contas sem que os piratas informáticos precisem de roubar a palavra-passe de forma directa.
A verdadeira ameaça permanece oculta até que a página seja aberta no browser. O código HTML está encriptado com o protocolo AES-GCM e torna-se visível apenas depois de o programa desencriptar a informação e apresentar o conteúdo fraudulento. Como resultado, as verificações estáticas de endereços web falham em detectar o perigo. É fundamental que os utilizadores saibam identificar os sinais de perigo e separar os avisos autênticos das fraudes online para evitar cair nestas armadilhas.
As consequências da falta de visibilidade
Esta lacuna na detecção inicial cria um ponto cego para as equipas de segurança, o que pode levar a problemas graves para as organizações. Entre os principais riscos, destacam-se:
- Maior tempo de exposição ao perigo: O roubo de contas do Microsoft 365 passa despercebido durante mais tempo, a permitir aos atacantes explorar a rede interna sem oposição imediata.
- Atrasos na contenção da ameaça: As decisões de resposta a incidentes demoram a ser tomadas, o que agrava os danos causados à infra-estrutura.
- Acesso não autorizado a dados sensíveis: Os criminosos conseguem entrar em emails empresariais, aceder a ficheiros confidenciais e manipular serviços na nuvem.
- Aumento dos custos operacionais: A incerteza gera mais alertas para os analistas seniores, o que eleva a carga de trabalho e as despesas associadas à investigação.
- Provas incompletas para bloqueio: A falta de dados dificulta a identificação e o bloqueio dos servidores e domínios utilizados pelos atacantes.
As autoridades têm feito esforços para travar estas redes, como se viu recentemente quando uma grande operação policial internacional desmantelou uma conhecida plataforma de fraudes de dupla autenticação, mas os cibercriminosos continuam a adaptar-se com novas tácticas de evasão.
Os sectores mais afectados e a solução
A actividade recente do EvilTokens concentra-se em áreas como tecnologia, manufactura, educação, banca, consultoria e serviços financeiros. A exposição a este tipo de ataques atingiu valores alarmantes, a ultrapassar os 75% no setor da consultoria e os 72% nos serviços financeiros.
Para combater este problema, a solução passa por abrir as hiperligações suspeitas num ambiente isolado (sandbox) que suporte a inspecção de dados directamente na interface de navegação. Ferramentas como a Interactive Sandbox da ANY.RUN permitem aos analistas observar o que acontece após a desencriptação da página, a captar os pedidos HTTP e a rastrear o código do dispositivo Microsoft.
A complexidade dos ataques modernos exige ferramentas avançadas, especialmente quando surgem novos métodos de sequestro de dados gerados por inteligência artificial que actuam de forma directa nas janelas de navegação. Ao analisar o comportamento real da página, as equipas de segurança conseguem gerar relatórios automáticos e travar o “phishing fantasma” antes que este cause prejuízos irreparáveis às empresas.
