تقنى

منصة ARToken للتصيد تكشف عن أداة سرقة رموز Microsoft 365 وتسهيل هجمات البريد المؤسسي

تم اكتشاف ARToken كمنصة تصيد-كخدمة جديدة تهدف إلى سرقة رموز مصادقة Microsoft 365 وتدعيم هجمات اختراق البريد المؤسسي، وفق تقرير نُشر في 4 يوليو 2026.

ARToken Phishing Platform Exposes Microsoft 365 Token Theft Toolkit

يظهر التحقيق أن ARToken يعمل كأداة تسمح بإدارة حملاتها عبر واجهة إدارة مبنية على React تُعرف بـ ARToken Panel، وتكشف عن أكثر من 80 نقطة وصول (API endpoints) تسمح بالتصيد وسرقة الرموز والوصول إلى البريد والملفات.

واجهات وآليات التحكم

tycoon2fa microsoft 365
Image credit: Microsoft

حددت واجهة ARToken Panel إمكانات لإدارة التدفقات التصيدية وتخطيط حملات متعددة عبر مساحات عمل تابعة لشركاء. كما تبرز قدرات النظام في تتبّع الحسابات المخترقة وإدارة تصاريح الملفات داخل بيئة Microsoft 365، بما فيها Outlook وSharePoint وOneDrive.

روابط بنيوية مع EvilTokens

  • يظهر ARToken كأداة مرتبطة بنموذج شراكة affiliates وتظهر أوجه تشابه تقنية مع EvilTokens، وهي منصة تصيد أخرى تركز على اختراق حسابات Microsoft 365.
  • يستخدم ARToken دعوات المصادقة عبر API نفسها التي استُخدمت في EvilTokens في سيناريوهات سابقة، مع وجود نقاط نهاية متعلقة بـ Primary Refresh Token في كلا النظامين.
  • يعتمد النظام أيضاً على نموذج نشر مشابه لـ Cloudflare Workers كما هو مستخدم لدى EvilTokens.

كيف يعمل تصيّد عبر رمز الجهاز

تركّز آلية التصيّد عبر رمز الجهاز في EvilTokens على تدفق تفويض Device Authorization Grant من OAuth 2.0، حيث لا يدوّن الضحية كلمات مرور في صفحة دخول مزيفة، بل يُطلب منه إدخال رمز Microsoft رسمي على صفحة تسجيل الدخول الحقيقية. بعد تسجيل الدخول، تصدر مايكروسوفت رموز مصادقة يمكن استخدامها للوصول إلى حساب Microsoft 365، مع تجاوز التوثيق الملّاذي المتعدد العوامل.

ما الذي يتيحه ARToken للمهاجمين

بعد إتمام المصادقة عبر رمز الجهاز، يمنح ARToken مجموعة واسعة من أدوات السيطرة على الحساب. يمكن للمهاجمين تحديث الرموز المسروقة وتحويل الوصول إلى رموز Refresh رئيسية مستمرة، وفتح صناديق بريد Outlook، وإرسال رسائل باسم المستخدم المخترَق، وإنشاء قواعد بريدية لإعادة التوجيه أو الإخفاء أو الحذف.

الوصول إلى SharePoint وOneDrive وأدوات إضافية

يسمح ARToken بالوصول إلى SharePoint وOneDrive وتصفح الملفات داخل الحسابات المخترقة، كما يمكنه تحميل الملفات وإدارتها ضمن بيئة Microsoft 365 المخترقة، بالإضافة إلى إدارة بنية التصيّد ومراقبة الحسابات عبر مساحات عمل لمشغّلين منفصلين.

ميزات جديدة كشفتها الأبحاث

  • يمكن ARToken متابعة عدة صناديب بريد مخترَقة في آن واحد وتحميل رموز من مصادر أخرى وتبادل الوصول بين المشغلين.
  • يمكنه إنشاء قواعد بريدية خفية تعيق ظهور نشاط المهاجم، كما يمكنه توفير صفحات تصيّد تتكيف وفق موقع الضحية.

إيصالات فواتير كخدع تصيد

شُيِّدت رسائل بريدية تصيّدية ذاتطابع فواتير تستهدف موظفي الحسابات الدائنة، وتروج لرابط SharePoint مزيف يوجه الضحية إلى نطاق Microsoft 365 مزيف يتحكم به المهاجمون.

اتساع التصيد عبر رمز الجهاز

يكشف الاكتشاف عن زيادة في أساليب التصيد عبر رمز الجهاز المستهدفة لحدود Microsoft 365، وهو ما يجعل الوصول إلى البريد والملفات والخدمات السحابية ممكناً باستخدام رموز مصادقة دون الحاجة لإعادة إدخال كلمة المرور.

زر الذهاب إلى الأعلى