TeknoFiber Logo
Son Dakika
ARToken: EvilTokens'ın Microsoft 365 Phishing Araç Setini Ortaya ÇıkardıAmerika'da Umut Işığı: Geçmişten Günümüze DönüşümGençlerin Büyük Teknolojiye Karşı İsyanı: Luddite Festivali New York'ta BaşladıHindistanlı Girişimciden Uzayda Yeni Bir Dönem: Swift Boost Görevine Başarıyla FırlatmaWhatsApp'ta Kullanıcı Adı Nasıl Alınır? İşte Bilmeniz GerekenlerValve'ın Steam Makinesi: Gerçekten Kimler İçin Tasarlandı?Trump Telefonu Nihayet Elimde! T1 Modelinin Detayları ve İlk İzlenimlerimDünya Kupası İzlerken Gizli Gözetim: Şehirler Daha Güvenli mi?Microsoft'un Yeni Raporu: Vergi Stratejileri ve Avrupa'daki Kar DağılımıSony, Avrupa'daki Oyun Diski Fabrikasını Optik Mikrolens Üretimine DönüştürüyorARToken: EvilTokens'ın Microsoft 365 Phishing Araç Setini Ortaya ÇıkardıAmerika'da Umut Işığı: Geçmişten Günümüze DönüşümGençlerin Büyük Teknolojiye Karşı İsyanı: Luddite Festivali New York'ta BaşladıHindistanlı Girişimciden Uzayda Yeni Bir Dönem: Swift Boost Görevine Başarıyla FırlatmaWhatsApp'ta Kullanıcı Adı Nasıl Alınır? İşte Bilmeniz GerekenlerValve'ın Steam Makinesi: Gerçekten Kimler İçin Tasarlandı?Trump Telefonu Nihayet Elimde! T1 Modelinin Detayları ve İlk İzlenimlerimDünya Kupası İzlerken Gizli Gözetim: Şehirler Daha Güvenli mi?Microsoft'un Yeni Raporu: Vergi Stratejileri ve Avrupa'daki Kar DağılımıSony, Avrupa'daki Oyun Diski Fabrikasını Optik Mikrolens Üretimine DönüştürüyorARToken: EvilTokens'ın Microsoft 365 Phishing Araç Setini Ortaya ÇıkardıAmerika'da Umut Işığı: Geçmişten Günümüze DönüşümGençlerin Büyük Teknolojiye Karşı İsyanı: Luddite Festivali New York'ta BaşladıHindistanlı Girişimciden Uzayda Yeni Bir Dönem: Swift Boost Görevine Başarıyla FırlatmaWhatsApp'ta Kullanıcı Adı Nasıl Alınır? İşte Bilmeniz GerekenlerValve'ın Steam Makinesi: Gerçekten Kimler İçin Tasarlandı?Trump Telefonu Nihayet Elimde! T1 Modelinin Detayları ve İlk İzlenimlerimDünya Kupası İzlerken Gizli Gözetim: Şehirler Daha Güvenli mi?Microsoft'un Yeni Raporu: Vergi Stratejileri ve Avrupa'daki Kar DağılımıSony, Avrupa'daki Oyun Diski Fabrikasını Optik Mikrolens Üretimine Dönüştürüyor
Siber Güvenlik

ARToken: EvilTokens'ın Microsoft 365 Phishing Araç Setini Ortaya Çıkardı

Yeni bir phishing-as-a-service platformu olan ARToken, EvilTokens ile bağlantılı olarak Microsoft 365'i hedef alan geniş bir araç seti sunuyor.

Burak ArslanBurak Arslan·
ARToken: EvilTokens'ın Microsoft 365 Phishing Araç Setini Ortaya Çıkardı

Görsel kaynağı: bleepstatic.com

Paylaş:

Son günlerde, siber güvenlik araştırmacıları tarafından keşfedilen yeni bir phishing-as-a-service (PhaaS) platformu olan ARToken, EvilTokens adlı dolandırıcılık platformuyla bağlantılı olarak çalıştığı iddia ediliyor. Bu platform, Microsoft 365 hesaplarını ele geçirmek için tasarlanmış kapsamlı bir araç setine sahip.

Cisco Talos araştırmacıları, ARToken'ı bir olay müdahale çalışması sırasında kullanılan phishing altyapısını incelerken keşfetti. ARToken Panel adlı, React tabanlı bir yönetim paneli, 80'den fazla API uç noktasını açığa çıkardı. Yapılan tersine mühendislik çalışmaları, bu platformun sunduğu yeteneklerin, genel olarak bir phishing platformunda bulabileceğinizden çok daha öte olduğunu ortaya koydu.

ARToken, saldırganların Microsoft 365 kimlik doğrulama belirteçlerini çalmalarına, Kalıcı Yenileme Belirteçleri (PRT) kullanarak sürekli erişim sağlamalarına ve Outlook posta kutularına, SharePoint sitelerine ve OneDrive dosyalarına erişmelerine olanak tanıyor. Ayrıca, Cloudflare Workers aracılığıyla phishing altyapısını dağıtmak ve iş e-postası dolandırıcılığı (BEC) operasyonlarının birçok yönünü otomatikleştirmek için araçlar içeriyor.

Talos'un raporuna göre, ARToken'ın teknik özellikleri, bu platformun daha önceki yıllarda keşfedilen EvilTokens phishing platformuyla güçlü benzerlikler taşıdığını gösteriyor. Araştırmacılar, ARToken phishing kitinin, EvilTokens saldırılarıyla daha önce ilişkilendirilmiş olan aynı API çağrılarını kullandığını buldu.

ARToken, Cloudflare Workers dağıtım modelini benimsiyor ve bağlı kuruluşların kendi kampanyalarını yönetebildiği çok kiracılı bir phishing hizmeti olarak çalışıyor. EvilTokens, Microsoft'un OAuth 2.0 Cihaz Yetkilendirme İzni kimlik doğrulama akışını istismar etmeye odaklanıyor ve bu teknik, cihaz kodu phishing olarak biliniyor. Kurbanlar, Microsoft'un resmi cihaz giriş sayfasında geçerli bir cihaz kodu girmeye ikna ediliyor, bu da Microsoft'un kimlik doğrulama belirteçlerini doğrudan saldırgana vermesine neden oluyor.

Sekoia, EvilTokens platformunu Mart ayında ilk kez belgeledi ve bunu siber suçlulara satılan ticari bir phishing hizmeti olarak tanımladı. Sekoia'nın takip eden raporunda, AI destekli bir iş akışı keşfedildi; bu sistem, toplanan posta kutularını kullanarak finansal riskleri değerlendiriyor ve ardından AI ve LLM'ler kullanarak BEC kampanyaları oluşturuyor.

Microsoft, cihaz kodu phishing saldırılarının dramatik bir şekilde arttığını ve birçok tehdit aktörünün bu tekniği benimseyerek yüksek başarı oranına sahip olduğunu bildirdi. EvilTokens'ı diğer cihaz kodu phishing kitlerinden ayıran ise dolandırıcılığı otomatikleştirmek için AI kullanması.

Talos'un raporu, EvilTokens bağlı kuruluşlarının başarılı bir hesap ele geçirme sonrasında hangi işlevselliklerden yararlanabileceğine dair ayrıntılı bir inceleme sunuyor. Bir kurban cihaz kodu kimlik doğrulama sürecini tamamladıktan sonra, ARToken, çalınan belirteçleri yenileme ve kalıcı başlıca yenileme belirteçlerine (PRT) erişim sağlama imkanı tanıyor.

Araştırmacılar ayrıca, iş e-posta dolandırıcılığı saldırıları gerçekleştirmek için kullanılabilecek araçlar buldu; bu araçlar arasında tam Outlook posta kutusu erişimi, ele geçirilmiş kullanıcılar olarak e-posta gönderme yeteneği, mesajları otomatik olarak ileten veya gizleyen gelen kutusu kuralları oluşturma yeteneği ve birden fazla posta kutusunu aynı anda belirli anahtar kelimeler için izleme yeteneği yer alıyor.

ARToken, daha önceki EvilTokens araştırmalarında tespit edilmeyen birkaç özellik de ortaya koydu. Tehdit aktörleri, aynı anda birden fazla ele geçirilmiş posta kutusunu belirli anahtar kelimeler için izleyebiliyor, diğer kaynaklardan çalınan belirteçleri yükleyebiliyor ve ele geçirilmiş hesaplara erişimi paylaşabiliyor. Ayrıca, izlerini örtbas etmek için mesajları gizleyen veya silen gelen kutusu kuralları kurabiliyorlar.

Sonuç olarak, ARToken'ın ortaya çıkışı, siber güvenlik alanında ciddi bir tehdit oluşturuyor ve kullanıcıların dikkatli olmaları gerektiğini bir kez daha hatırlatıyor.

Burak Arslan

Yazar: Burak Arslan

Siber Güvenlik ve Donanım Uzmanı

Siber güvenlik, veri gizliliği ve donanım mimarileri alanında derinlemesine analizler yapan uzman.

Tüm yazılarını gör

İlgili Haberler

Siber Güvenlik kategorisindeki diğer haberler

Son Haberler

Burak Arslan

Burak Arslan

Siber Güvenlik ve Donanım Uzmanı

Bu yazarın diğer yazıları:

📧

Teknoloji haberlerini kaçırma!

Her gün en önemli gelişmeleri e-postana gönderelim.