A Cisco Talos revelou o ARToken, uma plataforma de phishing como serviço (PhaaS) ligada ao EvilTokens que burla a autenticação multifator do Microsoft 365 usando o fluxo OAuth de código de dispositivo. A plataforma captura tokens de sessão, converte-os em Primary Refresh Tokens persistentes e opera um painel completo de business email compromise com acesso à caixa de entrada, SharePoint e OneDrive da vítima. Centenas de organizações são comprometidas por dia.

Plataforma completa de invasão

ARToken não é só mais um kit de phishing. Pesquisadores da Cisco Talos descreveram a plataforma como um “ambiente completo de operações de BEC” (business email compromise). O painel opera como uma aplicação React com mais de 80 endpoints de API expostos, oferecendo desde a captura de tokens até o roubo de documentos no SharePoint e envio de e-mails em nome da vítima — tudo centralizado numa interface única.

A plataforma vende acesso por US$ 1.500 (pagamento único) mais US$ 500 por mês, com uma ferramenta desktop separada chamada “ARTBrowser” que permite ao operador navegar na sessão comprometida do Microsoft 365 usando os tokens roubados, sem passar pelo painel web.

Vínculo direto com EvilTokens

ARToken é filha do EvilTokens, a plataforma de phishing como serviço documentada pela Sekoia e pela Microsoft no primeiro semestre de 2026. A Microsoft revelou que o EvilTokens comprometia centenas de organizações por dia, com 10 a 15 campanhas distintas a cada 24 horas.

A ligação entre ARToken e EvilTokens repousa em evidências técnicas precisas: o contrato de API é idêntico, incluindo o parâmetro clientMode: "broker" específico para capturar o Primary Refresh Token (PRT) do Windows. Ambas as plataformas usam Cloudflare Workers com padrões de subdomínio UUID, o mesmo ciclo de vida de tokens PRT, e compartilham modelo de assinatura com workspaces isolados por operador e notificações via Telegram.

Recurso EvilTokens ARToken
Preço US$ 1.500 + US$ 500/mês Assinatura similar
Anti-análise SHA-256 server-side (5 min) 7 camadas client-side + XOR
Cifra do payload AES-GCM (Web Crypto API) XOR 16 bytes (runtime)
PRT persistence Sim Sim (cadeia estendida)
BEC integrado Via IA (Llama + GPT-4o) Painel completo Outlook
Monitoramento por palavras Não documentado Cross-account em tempo real
Importar tokens externos Não Sim (marketplace)

A isca que chega ao alvo

Diferente do spray-and-pray comum, o ARToken usa engenharia social cirúrgica. A Cisco Talos recuperou mensagens de phishing enviadas em 20 de abril de 2026 que falsificavam o contato de contas a pagar de uma empresa legítima de Wisconsin, endereçado a uma empresa de ciências da vida. O tema da isca: faturas em atraso (“as faturas abaixo parecem pendentes… informe quando serão processadas”).

O cabeçalho From exibe o domínio real do fornecedor, mas o Reply-To redireciona para um domínio controlado pelo atacante. O texto-âncora no corpo do e-mail mostra o tenant real do SharePoint do fornecedor, mas o link real aponta para um tenant falso no mesmo host sharepoint.com — herdando a reputação limpa da Microsoft e passando por filtros de segurança.

Sistema anti-análise de sete camadas

Antes de carregar o payload de phishing, o kit executa verificação comportamental rigorosa no cliente. Bloqueia navegadores headless, Selenium, Puppeteer, Playwright, wget e curl. Requer que o ambiente tenha APIs de toque e mouse, dimensões de janela válidas e pelo menos três movimentos de mouse com coordenadas não lineares. Há um tempo mínimo de 800 milissegundos desde o carregamento da página.

O payload JavaScript é entregue cifrado com uma chave XOR de 16 bytes e decriptado em tempo de execução, diferente da cifra AES-GCM documentada no EvilTokens original. Isso impede que scanners de URL detectem o conteúdo malicioso por análise estática.

Persistência após troca de senha

Depois que a vítima autentica o código do dispositivo, o token capturado aparece no painel do operador. A cadeia de persistência é o diferencial: /prt/setup/prt/refresh/prt/cookie converte o token em um Primary Refresh Token que sobrevive a resets de senha.

O painel oferece ferramentas BEC integradas: leitura completa da caixa de entrada do Outlook, envio de e-mails como a vítima com suporte a BCC em lote, criação de regras de encaminhamento para supressão de evidências, monitoramento por palavras-chave em todas as contas comprometidas simultaneamente, e acesso total a sites SharePoint e arquivos OneDrive.

Impacto no Microsoft 365

O Azure CLI tem sido um alvo frequente dessas campanhas. Conforme detalhamos sobre os 81 milhões de ataques que burlam MFA mal configurado, o problema não é novo, mas o ARToken escala de forma inédita. A técnica de device code phishing já foi abordada no caso ConsentFix e ClickFix, que roubam tokens M365 em segundos, e também no CodeStorm, outro golpe que burla MFA no Microsoft 365. O ARToken opera na mesma linhagem, com mais recursos.

Como se proteger

Para equipes de segurança que gerenciam ambientes Microsoft 365, as contramedidas são claras:

  • Desative o device code flow onde não for necessário, via Conditional Access Policy no Azure AD
  • Monitore autenticações por device code com anomalias — multiple codes gerados para a mesma conta em janela curta são sinal de comprometimento
  • Audite regras de caixa de entrada com frequência: encaminhamento automático e exclusão de mensagens são indícios de BEC ativo
  • Implemente detecção de tenant lookalike: domínios que mimetizam o nome real do tenant do SharePoint mas apontam para workspace controlado por atacante
  • Revogue PRTs ativamente em dispositivos suspeitos via sessões do Azure AD
  • Eduque o time financeiro sobre iscas de faturas em atraso com links para SharePoint — o padrão mais comum de entrada

O que isso significa

O ARToken representa uma escalada estrutural no mercado de phishing como serviço. Não se trata mais de um kit que captura credenciais e entrega ao comprador. É uma plataforma operacional completa que cobre toda a cadeia de ataque — da isca ao roubo de documentos, passando por persistência que sobrevive troca de senha e supressão de evidências. Para organizações brasileiras que dependem do Microsoft 365, o risco é concreto: a mesma infraestrutura que protege também pode ser o vetor de entrada quando tokens são capturados antes da autenticação.

Referências