Storm-2372

🔍 Contexte Publié le 27 mai 2026 par Netcraft (auteure : Ginny Spicer), cet article présente une analyse technique d’une vague d’attaques de device code phishing propulsées par le toolkit EvilTokens, ainsi qu’une campagne connexe baptisée GhostPairing ciblant les messageries sécurisées. ⚙️ Mécanisme d’attaque EvilTokens EvilTokens abuse du flux d’autorisation par code d’appareil OAuth 2.0 : L’attaquant vérifie l’existence d’un compte cible via l’endpoint GetCredentialType sur login.microsoftonline.com Une lure est envoyée à la victime contenant une URL ou pièce jointe « nécessitant une authentification » La page malveillante génère un device code au moment du chargement (réinitialisant le délai d’expiration de 15 minutes de Microsoft) La victime entre le code sur l’URL de vérification légitime (ex. microsoft.com/devicelogin) Le client de l’attaquant, en polling sur l’endpoint token, reçoit des access et refresh tokens lui donnant un accès API persistant sous l’identité de la victime Le toolkit intègre : copie automatique du code dans le presse-papiers, design responsive pour mobile, mécanisme anti-bot (case à cocher), et des mécanismes anti-analyse (désactivation du clic droit, obfuscation JavaScript multi-couches, collecte d’informations via ipinfo.io). ...

🔍 Contexte Publié le 23 avril 2026 par Push Security, cet article analyse ConsentFix v3, un nouveau toolkit criminel diffusé sur le forum XSS (suspecté d’avoir des liens avec des acteurs étatiques russes). Il s’appuie sur une technique initialement attribuée à APT29 en décembre 2025, puis améliorée par le chercheur John Hammond (v2), et désormais reprise par des cybercriminels. ⚙️ Technique ConsentFix ConsentFix fusionne l’ingénierie sociale de type ClickFix avec le phishing de consentement OAuth. La victime est manipulée pour copier-coller (ou glisser-déposer) une URL Microsoft légitime contenant un code d’autorisation OAuth dans une page de phishing. Ce code est ensuite utilisé par l’attaquant pour s’authentifier sur une application Microsoft first-party (ex: Azure CLI) ciblant des apps avec des exclusions de Conditional Access connues. ...

🗓️ Contexte Article publié le 4 avril 2026 par Luke Jennings sur le blog de Push Security. Il s’agit d’une analyse technique approfondie de la montée en puissance du device code phishing en 2026, technique exploitant le flux OAuth 2.0 Device Authorization Grant. 📈 Tendance observée Push Security a observé une augmentation de 37,5x des pages de device code phishing détectées en 2026 par rapport à l’année précédente. Dix kits distincts ont été identifiés en circulation, dont le plus prominent est EvilTokens, premier kit PhaaS (Phishing-as-a-Service) criminel dédié au device code phishing, lancé en février 2026. ...