С конца 2025 года в сети действует сложная и многоступенчатая фишинговая кампания. Её цель - кража учётных данных и сессионных cookie пользователей корпоративной платформы Microsoft 365, а также Entra ID (сервиса управления доступом и идентификацией от Microsoft). Атака примечательна тем, что она эффективно обходит практически все традиционные методы многофакторной аутентификации (MFA). Злоумышленники не просто перехватывают одноразовые коды, а захватывают саму сессию после успешного её подтверждения. Единственной известной преградой для этой угрозы остаются так называемые привязные к устройству аутентификаторы: FIDO2, ключи доступа passkeys и решение Windows Hello for Business.
Описание
Эта атака использует принцип злоумышленника посередине (Adversary-in-the-Middle, или AiTM). В отличие от классического посредника, который перехватывает трафик на уровне сети, здесь вредоносный сервер становится прокси между жертвой и настоящим сервисом Microsoft.
Всё начинается с воронки, которая состоит из трёх-пяти последовательных этапов. Начальные точки входа обычно маскируются под темы, связанные с финансами, наймом персонала и документооборотом. Пользователь получает ссылку, которая ведёт на первый подставной сайт.
Первая ступень - это капча, которая на самом деле является защитой от автоматического анализа. Вместо статичной картинки жертве предлагается собрать пазл, перетащив фрагмент изображения на нужное место. Этот механизм отсеивает песочницы, сканеры URL и простые скрипты, которые не способны эмулировать действия человека и пройти проверку. В дополнение запускается веб-воркер, нагружающий процессор, что также замедляет работу автоматизированных инструментов анализа.
Если капча пройдена, пользователь переходит ко второму этапу - странице сбора корпоративного адреса электронной почты. Она может быть оформлена как окно для входа или как кнопка скачивания файла. Ключевая особенность этой страницы - динамическая подгрузка логотипа компании, в которой якобы работает жертва. Система использует сервисы поиска иконок по домену адреса электронной почты. Как только пользователь вводит почту, на экране появляется логотип его работодателя, что существенно повышает доверие к подделке. Кроме того, клиентская часть кода содержит жёстко заданный список из двадцати пяти общедоступных почтовых сервисов, адреса с которых (например, Gmail или Yahoo) просто не пропускаются дальше. В результате злоумышленники получают именно корпоративный адрес, который свидетельствует о наличии у жертвы доступа к чувствительным данным.
Самая опасная часть - третий этап. После ввода корпоративной почты жертва перенаправляется на клон страницы входа Microsoft. Этот клон является не просто картинкой, а полноценным обратным прокси-сервером, который транслирует данные между браузером жертвы и настоящим сервером аутентификации Microsoft login.microsoftonline.com. Вредоносный код переназначает все ключевые конечные точки аутентификации на свои собственные адреса. Когда пользователь вводит пароль, тот отправляется на злоумышленника. Когда приходит запрос одноразового кода из приложения-аутентификатора (TOTP), SMS-сообщения или push-уведомления, и этот код уходит на сервер атакующих. Злоумышленник моментально пересылает код в реальный сеанс с Microsoft, получает взамен сессионный cookie и передаёт его жертве. Пользователь видит, что вход прошёл успешно, и не подозревает об утечке. Однако захваченный cookie позволяет атакующему в течение некоторого времени выдавать себя за легитимного пользователя, не запрашивая повторно пароль или код подтверждения.
Исследование предоставленного отчёта показало, что этот набор инструментов использовался не только против общего портала Microsoft, но и против крупных корпораций, которые используют собственные настраиваемые порталы аутентификации. В ходе теста с использованием тестового адреса @amazon.com система корректно распознала, что пользователю нужно пройти через корпоративное редиректорное устройство Amazon Midway Auth, и попыталась перехватить этот специфический процесс. Дальнейшее изучение связанных доменных имён показало, что поддельные страницы входа создавались для таких гигантов, как Black Rock, Nvidia, Foxconn, Exxon и Costco. Это говорит о том, что злоумышленники целенаправленно охотятся за доступом к инфраструктуре крупнейших мировых компаний, а не просто собирают учётные данные случайных пользователей.
Вредоносный код также содержит дополнительные скрипты, которые подмешиваются в подлинную страницу Microsoft. Они маскируют активность, случайным образом меняя заголовок вкладки браузера, чтобы избежать обнаружения сигнатурными методами защиты. Кроме того, код содержит функцию автоматического ввода почты. Если анализатор безопасности просто откроет полученную ссылку без прохождения первых двух этапов, скрипт сам введёт адрес в поле ввода. Microsoft ответит, что такого пользователя не существует, и страница не покажет ничего подозрительного. Это ещё один слой защиты, скрывающий истинную природу сайта от автоматических систем проверки.
Вывод из этого ясен: полагаться на стандартные push-уведомления, коды в SMS или временные одноразовые пароли из приложений (TOTP) для защиты от AiTM-атак уже недостаточно. Эти меры бесполезны, если злоумышленник контролирует соединение и перехватывает сессионный токен. Единственным надёжным барьером остаются привязные к устройству аутентификаторы, которые не выдают секретную информацию даже при работе через вредоносный прокси. Фишинговая кампания является ярким примером того, как современная киберпреступность адаптирует методы обхода многофакторной аутентификации, делая её менее значимым барьером на пути атакующих.
Индикаторы компрометации
Domains
- accounts-recruitmentportal.com
- businesscorporatefiles.homes
- capivest.top
- corporaterecruiting.homes
- cvx.homes
- diq.homes
- documentfiles-rfq.com
- dvx.homes
- elitewealthgroups.com
- fij.autos
- fij.homes
- filedoc.homes
- filedocument.homes
- filedocumentslot.homes
- filedocx.homes
- fiv.autos
- hkfs-financial.com
- imy.homes
- indiawipro.homes
- jdcomponent.homes
- jd-corporation.homes
- jd-security.homes
- jinx.homes
- jobhunterscorporate.homes
- jobhuntersexecutive.homes
- laynx.homes
- linkedingroup.homes
- linkedinrecruiterslots.homes
- lloydsbbslot.homes
- m365smartlink.homes
- microutilityportal.com
- navigatorsales.homes
- northbridge-recruitment.com
- portalcomponent.com
- portalgermanyportfolio.homes
- portalo365component.com
- projectplanner.homes
- recruitingblog.homes
- recruitingbooster.homes
- recruitingteamslot.top
- recruitment.homes
- recruitmentcomponent.com
- recruitmentportals.com
- rescue-relief.org
- rfg-documentfiles.com
- rfq-documentfiles.com
- rfq-filesdocument.com
- rfq-googleportalcomponent.com
- rfq-portalfiles.com
- securityportal-m365.com
- security-verificationportal.homes
- smarlink-documentfiles.com
- smartlink-filesdocument.com
- tij.autos
- tij.homes
- tij.wtf
- tophire.homes
- xdo.homes
- xiq.homes
- xvx.homes
- zaragoza.homes
- zij.company
- zkt.homes