Специалисты по угрозам из команды LevelBlue SpiderLabs в январе 2026 года зафиксировали новую тактику в фишинговых кампаниях. Злоумышленники научились создавать ссылки, которые выглядят как легитимные запросы на авторизацию в экосистеме Microsoft, но на деле перенаправляют пользователей на поддельные сайты для кражи учетных данных. Ключевая особенность атаки - использование функционала платформы Microsoft Entra ID (ранее Azure AD) для регистрации приложений, что позволяет ссылкам выглядеть максимально доверительно и эффективно обходить базовые спам-фильтры.
Описание
Эта тактика была выявлена в ходе расследования множества инцидентов, связанных с компрометацией корпоративной почты (Business Email Compromise, BEC). Такие атаки ежегодно наносят компаниям многомиллионный ущерб, и злоумышленники постоянно совершенствуют методы социальной инженерии. В данном случае они эксплуатируют доверие пользователей к домену "login.microsoftonline.com" - центральному шлюзу для входа в сервисы Microsoft 365.
Технический разбор метода: как работает обман
В основе метода лежит стандартный поток OAuth 2.0 - протокола, который широко используется для авторизации и единого входа (SSO). Злоумышленники регистрируют в Microsoft Entra ID мультитенантное приложение (доступное для пользователей из разных организаций) и настраивают в нём URI перенаправления (Redirect URI) на контролируемый ими фишинговый сайт.
Сгенерированная ссылка для атаки имеет следующий вид, где критически важным является параметр "client_id", уникальный для каждого зарегистрированного приложения:
"hxxps[:]//login.microsoftonline.com/common/oauth2/v2.0/authorize?client_id=2c031e61-eae0-4e15-bfb9-600b22dccad1&scope=openid+profile...&prompt=none"
Для пользователя такая ссылка выглядит абсолютно легитимной, так как ведёт на официальный домен Microsoft. Однако ключевой параметр "prompt=none" подавляет интерактивный запрос на аутентификацию. В результате, если пользователь уже выполнил вход в свой аккаунт Microsoft в текущем браузере, запрос автоматически и мгновенно завершается, и браузер незаметно для жертвы перенаправляется на URL, указанный в настройках приложения злоумышленника. Фактический фишинговый домен скрыт до самого момента редиректа, что усложняет его статический анализ.
Тактические преимущества для атакующих и последствия
Данная техника предоставляет злоумышленникам несколько значимых преимуществ. Во-первых, она позволяет эффективно маскировать фишинговые кампании под легитимные процессы авторизации. Во-вторых, если контролируемый мошенниками домен будет заблокирован, они могут просто обновить URI перенаправления в настройках своего приложения в Microsoft Entra ID. Все ранее отправленные жертвам ссылки останутся работоспособными, так как будут запрашивать актуальный адрес перенаправления из регистрации приложения в реальном времени. В-третьих, многие почтовые фильтры, не выполняющие глубокий анализ цепочки перенаправлений (follow redirects), пропускают такие письма.
Анализ LevelBlue показал, что в реальных атаках ссылки содержат десятки параметров, часть из которых используется для отслеживания эффективности кампании и персонализации фишинговой страницы под конкретного получателя. После перехода по ссылке пользователи часто сталкиваются с дополнительными препятствиями, такими как CAPTCHA, размещённая на промежуточных доменах (например, "workers.dev"), что затрудняет автоматическое обнаружение ботами. В конечном итоге жертва попадает на точную копию страницы входа в Microsoft 365.
Важно отметить, что в изученных случаях фишинговые страницы были частью атаки «человек посередине» (MitM). Страница не просто крадёт логин и пароль, но и перехватывает введённые пользователем одноразовые коды двухфакторной аутентификации (2FA), сразу же передавая их на настоящие серверы Microsoft для получения валидной сессии. Получив такую активную сессию, злоумышленники получают полный доступ к учётной записи Microsoft 365 жертвы, что открывает путь для классических сценариев BEC: шпионажа, мошеннических финансовых переводов от имени компании или рассылки фишинга по внутренней адресной книге.
Рекомендации по защите для специалистов по информационной безопасности
Для противодействия этой угрозе администраторам безопасности следует предпринять ряд мер. Необходимо настроить правила в почтовых системах безопасности (Secure Email Gateway) для пометки или блокировки писем, содержащих ссылки с характерным паттерном: домен "login.microsoftonline[.]com" и эндпоинт "/common/oauth2/v2.0/authorize". Крайне важно, чтобы фильтры могли анализировать конечный пункт назначения после всех перенаправлений.
Кроме того, следует рассмотреть внедрение более устойчивых к фишингу методов аутентификации, таких как FIDO2-ключи, которые защищают от атак типа MitM. Полезно провести аудит существующих регистраций приложений в Microsoft Entra ID, обращая внимание на подозрительные мультитенантные приложения, и ужесточить политики их создания. Для поиска возможных уже состоявшихся компрометаций необходимо проверить логи кликов по URL в системах защиты электронной почты и других средствах мониторинга на предмет ссылок, соответствующих описанному шаблону.
Наконец, несмотря на техническую изощрённость атаки, человеческий фактор остаётся ключевым. Регулярное обучение сотрудников умению проверять домены в адресной строке браузера, обращать внимание на детали интерфейса и скептически относиться к любым неожиданным запросам на авторизацию по-прежнему является одной из важнейших мер защиты. Комбинация технических контрмер и повышения осведомлённости пользователей создаёт наиболее эффективный барьер против подобных сложных фишинговых схем.
Индикаторы компрометации
Domains
- hidden-snow-26f7.dijenel141.workers.dev
- lingering-bar-ecd9.linklink121.workers.dev
- login.online-mnlcvrosofitonvelfricationsert5839029301.org
- senvest.sbs
Client ID
1b6f59dd-45da-4ff7-9b70-36fb780f855b
