ظهرت منصة جديدة خطيرة لجرائم التصيد الاحتيالي في عالم الأمن السيبراني. خلال الربع الأول من عام 2026، بدأت منصة “EvilTokens” في الانتشار عبر مجتمعات الجرائم الإلكترونية السرية، مقدمةً أدوات جاهزة للمجرمين لاختراق حسابات Microsoft 365.
تختلف “EvilTokens” عن الأدوات التقليدية التي تقلد صفحات تسجيل الدخول الخاصة بمايكروسوفت، حيث تستغل آلية المصادقة المشروعة عبر رموز الأجهزة الخاصة بمايكروسوفت لنقل الوصول الكامل للحسابات إلى المهاجمين بصمت.
كيفية عمل EvilTokens لسرقة حسابات مايكروسوفت
ظهرت منصة EvilTokens في منتصف فبراير 2026، وسرعان ما تبناها المجرمون الإلكترونيون المهتمون بهجمات اختراق البريد الإلكتروني للأعمال (BEC) وهجمات “المحتال في الوسط” (AitM).
تعمل المنصة عبر روبوتات تليجرام، وتوفر للمنتسبين قوالب صفحات تصيد، وأدوات لجمع المعلومات، وميزات لاستطلاع الحسابات، وواجهة بريد إلكتروني مدمجة، بالإضافة إلى التشغيل الآلي المدعوم بالذكاء الاصطناعي.
أعلن المسؤول عن المنصة، المعروف باسم eviltokensadmin، عن خطط لتوسيع الدعم ليشمل صفحات تصيد خاصة بـ Gmail و Okta في المستقبل القريب.
في مارس 2026، اكتشف باحثون في فريق الكشف والبحث عن التهديدات (TDR) في Sekoia منصة EvilTokens أثناء مراقبتهم للمجتمعات التي تركز على التصيد الاحتيالي.
بعد تحليل الشيفرة الخلفية للمنصة، أكد محللو TDR أن “EvilTokens” هي أول منصة phishing-as-a-service (PhaaS) تقدم صفحات تصيد عبر رموز أجهزة مايكروسوفت جاهزة للاستخدام، وتقييم الباحثون بدرجة عالية من الثقة أن شيفرة الأداة ناتجة غالباً عن الذكاء الاصطناعي.
شملت الحملات المرتبطة بـ EvilTokens منظمات في أمريكا الشمالية والجنوبية وأوروبا والشرق الأوسط وآسيا وأوقيانوسيا.
كانت الدول الأكثر تأثراً هي الولايات المتحدة وأستراليا وكندا وفرنسا والهند وسويسرا والإمارات العربية المتحدة.
ركز المنتسبون على العاملين في قطاعات المالية والموارد البشرية واللوجستيات والمبيعات، وهي الأدوار الأكثر عرضة للاحتيال المالي.
حتى 23 مارس 2026، رصد الباحثون أكثر من 1000 نطاق تستضيف صفحات تصيد EvilTokens، باستخدام إغراءات متنوعة تشمل تقارير مالية وهمية، ودعوات اجتماعات، وإشعارات رواتب، ومستندات سحابية مشتركة من DocuSign و OneDrive و SharePoint.
آلية استغلال EvilTokens لسرقة حسابات مايكروسوفت
يكمن جوهر EvilTokens في استغلال منح التفويض الخاص بالأجهزة OAuth 2.0 من Microsoft، وهي آلية مشروعة مصممة للأجهزة ذات الإمكانيات المحدودة مثل أجهزة التلفزيون الذكية أو الطابعات.
عادةً، يعرض الجهاز رمزًا قصيرًا يدخله المستخدم في متصفح منفصل للمصادقة. تستغل EvilTokens هذا التدفق من خلال العمل كجهاز مصادقة، لخداع الضحايا لإتمام عملية تسجيل الدخول نيابة عن المهاجم.
تبدأ الهجمة عندما يرسل المهاجم طلبًا إلى واجهة برمجة تطبيقات Microsoft (API) لإنشاء رمز جهاز جديد.
يتم تمرير هذا الرمز إلى الضحية عبر صفحة تصيد أو مرفق. يقوم الضحية، معتقداً أنه ببساطة يتحقق من الوصول إلى مستند مشترك أو فاتورة، بزيارة صفحة تسجيل الدخول الحقيقية لمايكروسوفت وإدخال الرمز.
بمجرد إتمام تسجيل الدخول، يستلم نظام المهاجم رمز وصول (access token) ورمز تحديث (refresh token)، مما يمنحه وصولاً فورياً وطويل الأمد إلى الحساب.
يمكّن رمز الوصول المهاجمين لمدة تصل إلى 90 دقيقة لقراءة رسائل البريد الإلكتروني، وسحب الملفات من OneDrive و SharePoint، وعرض المحادثات على Teams. أما رمز التحديث فهو أخطر بكثير؛ حيث يستمر لمدة 90 يومًا ويتجدد تلقائيًا عند استخدامه، مما يسمح للمهاجمين بالحفاظ على وصول صامت دون الحاجة إلى أي مطالبات تسجيل دخول جديدة.
في الحالات المتقدمة، يقوم EvilTokens بتحويل هذه الرموز إلى رمز تحديث أساسي (Primary Refresh Token – PRT)، مما يمكّن من تسجيل الدخول الصامت عبر جميع تطبيقات Microsoft 365 دون الحاجة إلى كلمة مرور أو مصادقة متعددة العوامل (MFA).
تقلد صفحات التصيد خدمات مثل Adobe Acrobat Sign و DocuSign و SharePoint، وتقدم المحتوى المشفر عبر فك تشفير AES-GCM لتجنب أدوات الأمان.
يجب على المؤسسات تعطيل تدفقات مصادقة رموز الأجهزة للمستخدمين الذين لا يحتاجون إليها، وذلك باستخدام سياسات الوصول المشروط في Microsoft Entra ID. ويجب على فرق الأمن مراقبة عمليات تسجيل الدخول باستخدام نوع منح رموز الأجهزة، خاصة من المواقع غير المعروفة.
يعد تدريب الموظفين على مصادقة الأجهزة أمرًا ضروريًا، حيث تنجح هذه الهجمة فقط عندما يكون الضحايا غير مدركين لما تسمح به عملية إدخال رمز الجهاز بالفعل.
يمكن للمدافعين تطبيق قاعدة YARA التي أصدرتها Sekoia للكشف عن صفحات تصيد EvilTokens، والاستعلام عن urlscan.io و urlquery بأنماط عناوين URL المعروفة لـ EvilTokens لتحديد البنية التحتية ذات الصلة.