Onderzoekers van Cisco Talos hebben een nieuw phishing-as-a-service (PhaaS) platform genaamd ARToken blootgelegd, dat lijkt te opereren als een affiliate van het eerder ontdekte EvilTokens phishingplatform. Dit platform biedt een uitgebreide toolkit gericht op het compromitteren van Microsoft 365-accounts. Tijdens een onderzoek naar phishinginfrastructuur werd een React-gebaseerd beheerpaneel, het "ARToken Panel", gevonden met meer dan 80 API-eindpunten die inzicht geven in de functionaliteiten van het platform.

Door het client-side JavaScript te analyseren, ontdekten de onderzoekers ongekende mogelijkheden die verder gaan dan standaard phishingplatforms. ARToken stelt aanvallers in staat om Microsoft 365 authenticatietokens te stelen, persistente toegang te verkrijgen via Primary Refresh Tokens (PRT) en toegang te krijgen tot Outlook-mailboxen, SharePoint-sites en OneDrive-bestanden. Daarnaast bevat het platform tools om phishinginfrastructuur te implementeren via Cloudflare Workers en om verschillende aspecten van business email compromise (BEC) te automatiseren.

Volgens het rapport van Talos zijn er meerdere technische overeenkomsten die ARToken koppelen aan het EvilTokens platform dat eerder dit jaar werd ontdekt. Zo gebruikt ARToken dezelfde API-aanroepen voor de Microsoft device code authenticatiestroom, waaronder een identieke `POST /api/device/start` request die ook bij EvilTokens-aanvallen werd aangetroffen. Tevens zijn dezelfde PRT API-eindpunten aanwezig als beschreven in Sekoia's onderzoek naar EvilTokens, waarmee tokens kunnen worden ingesteld, vernieuwd en opnieuw verkregen, zelfs na verlopen van de tokens.

Het platform werkt als een multi-tenant phishingdienst waarbij affiliates hun eigen campagnes beheren via aparte werkruimtes. EvilTokens richt zich sterk op het misbruiken van de OAuth 2.0 Device Authorization Grant authenticatieworkflow van Microsoft, een techniek die bekendstaat als device code phishing. Hierbij worden slachtoffers misleid om een legitieme Microsoft-apparaatcode in te voeren op de officiële Microsoft loginpagina, waardoor authenticatietokens rechtstreeks naar de aanvaller worden uitgegeven. Omdat de authenticatie via Microsoft zelf verloopt, kunnen deze aanvallen multi-factor authenticatie omzeilen.

De EvilTokens dienst werd in maart voor het eerst gedocumenteerd door Sekoia, die het beschreef als een commercieel phishingplatform met een setupkost van 1.500 dollar en een maandelijkse abonnementskosten van 500 dollar. In een vervolgonderzoek werd een AI-gestuurde workflow ontdekt die gestolen mailboxen analyseert op financiële risico’s en vervolgens AI en grote taalmodellen inzet om BEC-campagnes op te stellen en e-mails te vertalen voor internationale operators. Microsoft waarschuwde later voor het platform toen device code phishing aanvallen sterk toenamen en meerdere dreigingsactoren deze techniek gingen gebruiken vanwege het hoge succespercentage tegen Microsoft 365 gebruikers, zoals beschreven in hun waarschuwing.

Wat EvilTokens onderscheidt van andere device code phishingkits is het gebruik van AI om fraude te automatiseren. Het rapport van Talos geeft een gedetailleerd overzicht van de functionaliteiten die affiliates tot hun beschikking hebben na een succesvolle accountcompromittering. Na voltooiing van het device code authenticatieproces kunnen operators gestolen tokens vernieuwen en toegang verhogen naar persistente PRT’s. Ook zijn er tools voor BEC-aanvallen, zoals volledige toegang tot Outlook-mailboxen, het versturen van e-mails namens gecompromitteerde gebruikers, het aanmaken van inboxregels om berichten automatisch door te sturen of te verbergen, het monitoren van meerdere mailboxen op trefwoorden en het downloaden van e-mailbijlagen.