EvilTokens: kit de phishing como serviço para OAuth 2.0

O EvilTokens é uma nova plataforma de Phishing-as-a-Service que utiliza o fluxo Device Authorization Grant do OAuth 2.0 da Microsoft, enganando vítimas a inserirem códigos controlados por atacantes no endpoint legítimo microsoft.com/devicelogin para capturar tokens de acesso e atualização, visando o controle de contas Microsoft 365. O kit automatiza a conversão de tokens comprometidos em Primary Refresh Tokens (PRTs), permitindo acesso SSO contínuo e bypass de MFA em serviços como Outlook, SharePoint, OneDrive, Teams, Microsoft Graph e Azure. Mais de 1.000 domínios de phishing afiliados foram detectados na infraestrutura do Cloudflare Workers até março. Defensores devem monitorar o cabeçalho HTTP X-Antibot-Token, bloquear domínios que coincidam com padrões afiliados do Cloudflare Workers e investigar via urlscan.io usando requisições para /api/device/start e /api/device/status/, com regras YARA e IOCs disponíveis no repositório GitHub da Sekoia Community.