幽灵代码劫持微软账户，欧美金融业成新式钓鱼主攻目标

一套被安全研究人员追踪为EvilTokens的钓鱼工具包，正在美国和欧洲的金融、科技、制造等行业间快速扩散。它不直接窃取密码，却能让攻击者拿到微软365账户的完全访问权——而且整套流程刻意绕开了安全运营中心（SOC）最依赖的静态URL检测，让大量攻击行为藏在了屏幕背后。

威胁情报平台ANY.RUN在最近的周报里不断提到这个工具包，并把它列为被监测到的最高频钓鱼套件之一。数据表明，这一轮活动的目标企业覆盖了托管安全服务、技术、制造、教育、银行以及咨询与金融服务等领域。模式很清晰：攻击者把宝押在了那些一旦微软365账户失守，就能顺势摸到敏感数据、内部对话和关联业务系统的组织身上。

从一段分析会话看攻击如何绕过所有静态检查

ANY.RUN的分析团队在一次会话中完整复现了EvilTokens的攻击链。入口看起来就像任何一个常规的登录页面，受害者收到钓鱼邮件后点开链接，页面加载一切正常。URL检查没有发现明显的恶意脚本，网络层检测也只抓到了加密后的乱码——因为真正的钓鱼内容根本没有裸放在HTML里。

该工具包采用了AES-GCM加密，并把攻击载荷藏在浏览器端解密的过程中。也就是说，只有浏览器收到页面并完成解密、将代码渲染进文档对象模型之后，完整的钓鱼界面才会出现。在此之前，无论是邮件安全网关、代理还是URL黑名单，看到的都只是一段无法判读的“幽灵代码”。SOC分析人员如果只停留在静态分析阶段，往往只能记录下初始响应包，根本不知道受害者实际在屏幕上看到了什么。

不偷密码的账户接管术

更精妙的地方在于，EvilTokens采用了微软设备代码钓鱼这一手法，全程不需要受害者输入密码。攻击链路会引导用户走一遍真正的微软设备登录流程：受害者看到的是一个“请输入此代码以激活设备”的页面，上面显示的代码恰好是攻击者实时发起的一次合法设备注册请求所生成的。一切界面都是微软官方提供的，证书有效、域名真实，任何安全提示都不会跳出来。

受害者一旦输入代码并确认授权，等于亲手把一个由攻击者控制的设备添加到了自己的微软账户下。从这一刻起，攻击者拥有了与其本人完全平等的访问权限——可以阅读邮件、搜索SharePoint文档、查看Teams历史记录，而账户的主人甚至不会收到异地登录告警，因为这一切都是通过已验证设备完成的。

这种绕过密码和二次认证的方式，直接把传统基于凭证窃取模型的检测逻辑打在了盲区上。SOC工程师们所熟悉的异常登录标记、可疑IP告警，在这套玩法面前集体失灵。

浏览器层分析填上了最大情报缺口

EvilTokens之所以成为安全团队的头痛对象，核心痛点就在于分析维度的错位。静态URL检测和网络层监控看的是代码传输，而真正的恶意表现发生在浏览器执行环境内。ANY.RUN的研究人员指出，只有当分析延伸到完整的浏览器层面，观察页面在动态运行后的实际行为，才能拿到确凿证据来确认威胁。

在一次实际响应中，安全团队正是通过浏览器沙箱捕获了解密后的代码及其行为模式。这些第一手数据削减了大量人工复核时间，跳过了不必要的升级流程，让隔离决策更快落地。解密后的代码不仅证明了本次攻击，还能关联到同一基础设施下的其他工具包、域名、证书指纹和关联活动，为威胁情报人员提供了横向扩展研判的线索。

与此同时，这些行为模式可以反哺给钓鱼签名库、威胁狩猎规则和自定义检测逻辑。比如，将设备代码钓鱼的特定交互流程——包括官方登录页面上出现的非典型设备代码字段、时序特征和浏览器端解密后的DOM结构——整合进自动化检测，就能显著缩小EvilTokens这类套件的存活窗口。

欧美成重灾区，金融业M365账户是金矿

从ANY.RUN威胁情报收录的活动分布看，美国与欧洲的集群效应最突出。而这背后的商业逻辑同样很直接：金融和咨询行业的一个微软365账户，往往串接着客户资产数据、内部审批链路和云上的财务系统。制造业和教育机构看似非核心，但其实大量依赖微软生态进行供应链协同与知识产权存储，一旦账号被静默接管，横向移动的风险并不亚于金融业。

目前并没有迹象表明EvilTokens会主动对密码本身发起任何形式的抓取或暴力破解。它完全依赖被滥用信任机制，借微软官方的设备信任流程来完成登录。这也解释了为什么该工具包的受害组织大多直到情报回溯时才发现问题——没有密码失窃的迹象，没有撞库的痕迹，只有一个被悄悄绑定的“新设备”。

安全分析师在事件响应中发现，这种攻击遗留的痕迹非常稀疏，集中在Azure AD登录日志里的设备注册事件和对应的用户代理字符串上。如果企业没有对设备注册行为做任何风险标记，攻破后的驻留周期可以长达数周甚至数月。

从单点事件到全局拼图

EvilTokens背后的基础设施并不孤立。通过解密后提取出的脚本特征和资源域名，ANY.RUN团队能够将单一攻击会话映射到更大范围的设备代码钓鱼生态中。在一次关联分析里，同一个加密封装方式出现在了另一套针对欧洲银行的工具包中，二者共享了部分证书指纹和重定向逻辑。

这种跨工具的关联提示了一件事：设备代码钓鱼正在从一个少数攻击者使用的奇技，演变为越来越多钓鱼工具包的标配模块。而浏览器层的可见性，恰好从根源上消除了这类攻击最依赖的信息不对称——只要团队能够看到页面完整执行的结果，就没有“幽灵代码”能够继续隐身。