
Una campaña reciente de EvilTokens dirigida a empresas de EE. UU. y Europa revela un nuevo punto ciego en la seguridad del correo electrónico. Esta técnica de «phishing fantasma» oculta la página maliciosa hasta que se descifra y se activa en el navegador de la víctima.
Para los líderes de seguridad, los riesgos son claros. El acceso a Microsoft 365, los datos confidenciales y los tiempos de respuesta ya están en riesgo, mientras que las comprobaciones de URL tradicionales pueden pasar por alto los ataques.
El correo electrónico parece seguro. Otra historia contada por el navegador
El reciente ataque de EvilTokens muestra que los enlaces de phishing, si bien parecen benignos tras una inspección inicial, pueden conducir a la apropiación de cuentas de Microsoft 365.
Este kit utiliza phishing de código de dispositivo de Microsoft para engañar a las víctimas para que completen un flujo de inicio de sesión legítimo de Microsoft y otorguen acceso a sus cuentas sin su conocimiento. No es necesario robar contraseñas directamente.
El ataque real permanece oculto hasta que se abre la página en el navegador. Ese HTML está cifrado con AES-GCM y solo es visible después de que el navegador lo descifra y muestra el contenido de phishing en el DOM.
Como resultado, las comprobaciones de URL estáticas y los controles a nivel de red pueden obtener una respuesta inicial sin ver lo que los empleados realmente ven. Esta brecha de visibilidad puede generar problemas como:
Adquisición prolongada de cuentas de Microsoft 365 Retrasos en las decisiones de contención y respuesta Acceso no autorizado a correo electrónico, archivos y servicios en la nube corporativos Alertas más inciertas enviadas a analistas senior Mayor esfuerzo de investigación y costos operativos Evidencia incompleta para bloquear la infraestructura relacionada
Sin embargo, el flujo de ataque completo se reveló dentro del sandbox interactivo de ANY.RUN. Explore la sesión de análisis para ver qué reveló el navegador y cómo su equipo puede utilizar esta evidencia para responder más rápido.
Compruebe los ataques recientes de EvilTokens y obtenga IOC asociados
Phishing fantasma complejo encontrado en el sandbox de ANY.RUN
La pesca fantasma es la situación más grave
La inteligencia sobre amenazas de ANY.RUN indica que la actividad reciente de EvilToken se ha concentrado en los Estados Unidos y Europa, apuntando a proveedores de tecnología, manufactura, educación, banca, consultoría, servicios financieros y seguridad administrada.
TI para ANY.RUN indica actividad de amenaza dirigida a regiones específicas
Esta superposición es difícil de ignorar. Según los datos de envío de sandbox de ANY.RUN de 15.000 organizaciones, las pérdidas por phishing en 2026 alcanzaron el 75,6 % en consultoría, el 72,8 % en servicios financieros, el 71,9 % en manufactura, el 67,9 % en tecnología, el 66,7 % en banca y el 66,1 % en MSSP.
Esto hace que el phishing encubierto sea especialmente peligroso en estas zonas. Una infracción de una única cuenta de Microsoft 365 puede exponer datos confidenciales, permitir el compromiso y el fraude del correo electrónico empresarial y desencadenar una costosa respuesta a incidentes.
Cuanto más tiempo permanezca oculto un ataque, más probable será que una sola cuenta se convierta en un incidente comercial más amplio.
Detenga el phishing encubierto antes de que perjudique su negocio.
Reduzca el riesgo de exposición, los costos de incidentes y la apropiación de cuentas.
Cerrar la brecha de visibilidad
Hacer visibles los fantasmas antes de que las empresas paguen el precio
La forma más eficaz de exponer el phishing fantasma es abrir un enlace sospechoso en un entorno limitado que admita la inspección de datos en el navegador.
Dentro del entorno de pruebas interactivo de ANY.RUN, los analistas miran más allá de la respuesta cifrada AES-GCM para ver qué sucede después de descifrar la página. Puede monitorear el contenido de phishing que aparece en el DOM, conectar cambios a solicitudes Fetch/XHR y rastrear el código del dispositivo Microsoft hasta el punto final /api/device/start.
DOM HTML descifrado mostrado en el panel de exploración de datos del navegador
Las vistas de datos en el navegador combinan todo el flujo de ataque en una sola investigación.
La instantánea del DOM muestra cuándo se modifica la página oculta y el código de usuario es visible. Las solicitudes HTTP revelan la comunicación backend detrás del flujo de código del dispositivo. Los detalles de la URL revelan el destino final y la firma de detección activada. El indicador proporciona dominios, puntos finales, hashes e infraestructura para una mayor búsqueda.
En lugar de reconstruir manualmente los ataques, los equipos tienen evidencia de primera mano sobre cómo se comportan las páginas, qué solicitan y qué artefactos respaldan la contención y la detección.
Instantánea DOM que muestra el código descifrado
Desde evidencia a nivel de navegador hasta transferencias de SOC más claras
Para transmitir esta evidencia del Nivel 1 al Nivel 2, la investigación genera automáticamente un informe con un resumen de IA y los próximos pasos recomendados.
Informes generados automáticamente a partir de sesiones de análisis de EvilTokens
En lugar de reconstruir casos a partir de datos sin procesar del navegador, los analistas senior reciben hallazgos clave, comportamientos observados, métricas y contexto de respuesta en un solo lugar. Esto acelera las transferencias, reduce el trabajo repetitivo y permite a los equipos pasar de la validación a la contención con menos demora.
Detenga el phishing fantasma en su navegador antes de que llegue a su empresa
El incidente de EvilTokens expuso la desagradable verdad de que los correos electrónicos pueden pasar la inspección mientras el ataque real espera dentro del navegador.
Sin visibilidad a nivel de navegador, los SOC se ven obligados a tomar decisiones de alto riesgo con evidencia parcial. Este retraso les da a los atacantes más tiempo para obtener acceso, expandir su superficie de ataque y convertir una única cuenta comprometida de Microsoft 365 en un costoso incidente comercial.
Esto ayuda a los líderes de seguridad a:
Reduzca las ventanas de exposición antes de que las cuentas comprometidas se conviertan en incidentes más amplios. Reduzca la presión sobre los analistas senior proporcionando al Nivel 1 suficiente evidencia para resolver más casos. Acelere la contención con un contexto de ataque completo disponible desde la primera escalada. Mejore la cobertura de detección utilizando el comportamiento del navegador, la infraestructura y patrones de ataque repetibles. Reduzca el costo de la respuesta al phishing al reducir las investigaciones manuales y los esfuerzos duplicados. Tome decisiones de riesgo basadas en evidencia en lugar de confiar en análisis limpios o veredictos no concluyentes.
Hoy en día, el phishing ya no es totalmente evidente en los correos electrónicos o en las respuestas URL iniciales. Los equipos de seguridad necesitan visibilidad para rastrear los ataques al navegador y exponerlos antes de que la empresa pague el precio.
Reduzca la exposición empresarial: proporcione a los analistas evidencia completa del navegador para detener el phishing fantasma más rápido y evitar que una sola cuenta comprometida se convierta en un incidente costoso.
Source link
