Một công cụ lừa đảo (phishing panel) mới được phát hiện, có tên ARToken, đang tạo điều kiện thuận lợi cho tội phạm mạng đánh cắp các phiên đăng nhập Microsoft 365 mà không cần mật khẩu. Công cụ này khai thác một tính năng đăng nhập hợp pháp của Microsoft, vốn được thiết kế cho các thiết bị không có bàn phím hoặc trình duyệt, nhằm lừa người dùng phê duyệt yêu cầu đăng nhập từ phía kẻ tấn công. Sau khi được phê duyệt, kẻ tấn công sẽ sở hữu một token phiên đăng nhập hợp lệ, không yêu cầu mã xác thực đa yếu tố (MFA).
ARToken: Phishing Panel Tinh Vi cho Microsoft 365
ARToken nổi bật không chỉ ở khả năng đánh cắp thông tin mà còn ở những gì nó có thể thực hiện sau đó. Bảng điều khiển của ARToken cung cấp cho kẻ tấn công một giao diện mạnh mẽ với hơn 80 chức năng, bao gồm làm mới token đã đánh cắp và truy cập toàn bộ hộp thư email của nạn nhân.
Khả năng Mở rộng Xâm nhập
Công cụ này còn cung cấp các chức năng duyệt và tải xuống tệp từ SharePoint và OneDrive, biến một phiên đăng nhập bị chiếm đoạt thành cánh cửa cho các cuộc xâm nhập sâu hơn. Theo báo cáo của Cisco Talos, bảng điều khiển này chia sẻ hạ tầng, mẫu mã code và các lệnh backend giống hệt với EvilTokens, một nền tảng Phishing-as-a-Service (PaaS) đã được ghi nhận trước đó. Microsoft cũng đã xác nhận EvilTokens là một mối đe dọa quy mô lớn.
Khi Microsoft nhận thức được mức độ của các cuộc tấn công sử dụng mã thiết bị này, các nhà nghiên cứu đã theo dõi khoảng 500 tên miền Cloudflare Workers và hơn 2.000 trang lừa đảo liên quan đến hoạt động của EvilTokens. Các đối tượng tấn công nhắm mục tiêu vào nhân viên tài chính, đội ngũ nhân sự và nhân viên logistics trên nhiều khu vực, thường sử dụng tin nhắn được tạo bởi AI để tùy chỉnh cho từng nạn nhân.
ARToken dường như là một phiên bản đổi tên hoặc một nhánh liên quan chặt chẽ của hệ sinh thái tội phạm này, được xây dựng cho những kẻ tấn công muốn một giao diện bóng bẩy hơn và các công cụ mạnh mẽ hơn sau khi xâm nhập.
Phương thức Tấn công Phổ biến
Cuộc tấn công thường bắt đầu bằng một email lừa đảo thuyết phục, giả mạo liên hệ của nhà cung cấp thực tế thay vì tạo ra một công ty giả mạo hoàn toàn. Trong một trường hợp được các nhà nghiên cứu phân tích, tin nhắn giả mạo liên hệ bộ phận kế toán của một nhà thầu hợp pháp và hướng người nhận đến một liên kết tệp SharePoint trông có vẻ chính hãng, liên quan đến một hóa đơn chưa thanh toán.
Liên kết hiển thị văn bản trỏ đến tenant SharePoint thực tế của nhà cung cấp, nhưng đích đến thực sự lại âm thầm chuyển hướng đến một không gian làm việc được kiểm soát bởi kẻ tấn công, với giao diện gần như tương đồng. Vì liên kết vẫn phân giải thành địa chỉ sharepoint.com hợp lệ, nó mang theo sự tin cậy vốn có của nền tảng này, giúp nó vượt qua bộ lọc thư rác và những người dùng cảnh giác.
Khai thác Luồng Mã Thiết bị OAuth
Người dùng nhấp vào liên kết sẽ được dẫn đến một trang đăng nhập thiết bị Microsoft giả mạo. Bộ công cụ sau đó hiển thị một mã thiết bị và yêu cầu nạn nhân nhập mã này vào trang microsoft.com/devicelogin thực tế. Đây là một bước mà nhiều người dùng đã quen thuộc khi thiết lập TV thông minh hoặc ứng dụng giải trí.
Sau khi nhập mã, hệ thống backend sẽ âm thầm thu thập một token truy cập hợp lệ mà không yêu cầu mật khẩu. Trước khi bất kỳ hành động nào xảy ra, bảng điều khiển lừa đảo thực hiện một quy trình sàng lọc bảy lớp, được thiết kế để lọc bỏ các trình quét bảo mật và bot tự động. Nó kiểm tra dấu vân tay trình duyệt, theo dõi chuyển động chuột tự nhiên và chờ gần một giây trước khi kích hoạt, nhằm thuyết phục trang web rằng nó đang tương tác với một người dùng thực sự.
Token đã đánh cắp chỉ là bước khởi đầu. ARToken có thể nâng cấp quyền truy cập ban đầu thành một chứng chỉ có thời hạn dài hơn, được gọi là primary refresh token. Token này vẫn hoạt động ngay cả khi nạn nhân thay đổi mật khẩu, một điểm khác biệt quan trọng so với các phương pháp lừa đảo cũ, vì việc đặt lại mật khẩu thông thường sẽ vô hiệu hóa quyền truy cập của kẻ tấn công.
Khả năng Lạm dụng Sâu rộng
Từ đó, kẻ tấn công có thể đọc toàn bộ hộp thư email của nạn nhân, gửi tin nhắn giả mạo từ tài khoản bị xâm phạm và âm thầm tạo các quy tắc hộp thư để ẩn hoặc chuyển tiếp bằng chứng về hành vi xâm nhập. Chúng cũng có thể duyệt và tải xuống tệp từ SharePoint và OneDrive, biến một phiên đăng nhập bị chiếm đoạt thành cánh cửa cho các cuộc xâm nhập sâu hơn.
Các nhóm bảo mật nên xem các lời nhắc mã thiết bị bất ngờ với sự nghi ngờ và xác nhận các yêu cầu hóa đơn hoặc tài liệu bất thường thông qua một kênh riêng biệt, đáng tin cậy trước khi thực hiện bất kỳ hành động nào. Việc **cập nhật bản vá** và nâng cao nhận thức người dùng về các kỹ thuật phishing tinh vi là rất quan trọng.
Các Chỉ số Liên quan đến Sự cố (Indicators of Compromise – IoCs)
Lưu ý: Địa chỉ IP và tên miền được làm rõ (ví dụ: [.]) để ngăn chặn việc phân giải hoặc tạo liên kết vô tình. Chỉ gán lại định dạng đầy đủ trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.
- Các miền Cloudflare Workers đáng ngờ (được theo dõi khoảng 500).
- Các trang lừa đảo được tạo bởi ARToken/EvilTokens (hơn 2.000).
- Các mẫu email lừa đảo giả mạo liên hệ nhà cung cấp hoặc hóa đơn.
- Khai thác luồng mã thiết bị OAuth của Microsoft 365.
- Tạo primary refresh token để duy trì truy cập ngay cả sau khi đổi mật khẩu.
Để tăng cường khả năng phòng thủ của Trung tâm Điều hành An ninh (SOC) bằng cách đẩy nhanh quá trình phát hiện mối đe dọa và điều tra nhanh chóng, việc tích hợp các giải pháp phân tích mã độc như ANY.RUN là rất cần thiết. Thông tin chi tiết về các cuộc tấn công như thế này giúp cải thiện chiến lược an ninh mạng tổng thể.










