Por Dentro de uma Campanha de Phishing de Código de Dispositivo Habilitada por IA

Pesquisadores do Microsoft Defender rastrearam uma campanha de phishing de código de dispositivo em larga escala, impulsionada pelo toolkit EvilToken Phishing-as-a-Service. Os atacantes utilizaram Railway.com para criar nós de polling Node.js de curta duração e geraram códigos de dispositivo dinamicamente no momento do clique, resolvendo assim o problema de expiração de 15 minutos. Os e-mails foram personalizados para cada função do alvo, como faturas, RFPs e workflows de manufatura, para aumentar as taxas de interação. Após capturar os tokens, os atacantes usaram o Microsoft Graph para mapear as estruturas organizacionais e, em seguida, focaram em contas financeiras e executivas para exfiltração de e-mails.