Новая волна фишинга использует легитимный механизм Microsoft для кражи OAuth-токенов под видом облачных сервисов

В отличие от традиционного фишинга, эта атака не направлена на кражу учётных данных. Вместо этого она злоупотребляет легитимным потоком Device Code (код устройства) в рамках протокола OAuth, используемого Microsoft для авторизации устройств с ограниченными возможностями ввода, например, Smart TV или игровых консолей. Жертве отображается верификационный код с инструкцией вставить его на настоящей странице входа Microsoft - microsoft.com/devicelogin. Пока пользователь честно выполняет эти шаги на легитимном ресурсе корпорации, сервер злоумышленника в фоновом режиме перехватывает OAuth-токены, возвращаемые Microsoft после успешной аутентификации. Эти токены предоставляют прикладной уровень доступа к учётной записи жертвы, открывая долгосрочный доступ к почте, файлам и удостоверению личности без необходимости знать пароль.

Атака начинается с доставки персонализированных фишинговых ссылок по электронной почте. Перейдя по ссылке, жертва загружает страницу, которая изначально показывает лишь легитимный брендинг имитируемого сервиса. Однако в фоне браузер расшифровывает обфусцированный полезный груз, используя встроенный ключ, после чего на странице отображается пользовательский код и подробные инструкции. Для повышения удобства (и успешности атаки) код часто автоматически копируется в буфер обмена. После того как пользователь вставляет код на официальном сайте Microsoft и входит в свою учётную запись, сервер злоумышленника, активно опрашивающий Microsoft, получает долгоживущие токены доступа. Чтобы не вызвать подозрений, страница затем показывает сообщение "Верификация завершена!" и перенаправляет пользователя на легитимный сайт бренда, создавая полную иллюзию успешного выполнения обычной процедуры проверки.

Особую опасность представляют изощрённые техники уклонения и противодействия анализу, встроенные в эту кампанию. Исследователи отметили использование нескольких уровней обфускации, включая доставку полезной нагрузки в виде зашифрованного блока AES-GCM через инфраструктуру Cloudflare Workers, что позволяет обходить статические сканеры контента. Страница реализует продвинутые анти-бот-механизмы: до подтверждения, что посетитель является человеком, контент остаётся невидимым, а сканеры и боты молча перенаправляются на настоящий OneDrive. Для затруднения анализа применяется целый арсенал методов: отключение правого клика, выделения текста и перетаскивания, блокировка "горячих клавиш" для инструментов разработчика, обнаружение активных DevTools с последующим запуском бесконечного цикла отладчика, попытки перехвата функций создания скриншотов и обфускация URL-адреса длинной случайной строкой. Кроме того, при загрузке страницы в фоне происходит эксфильтрация cookies браузера на сервер атакующих.

Полученный токен доступа предоставляет злоумышленникам немедленный доступ к ресурсам, связанным с учётной записью Microsoft жертвы. В зоне риска оказывается корпоративная и личная переписка в Outlook, конфиденциальные файлы в OneDrive, история коммуникаций в Teams, а также удостоверение в Azure Active Directory (служба управления идентификацией и доступом), что может стать трамплином для дальнейших атак внутри корпоративной сети. Масштабы кампании подчёркивают её серьёзность: согласно данным мониторинга, её активность наблюдалась уже в середине февраля 2026 года, и существует как минимум три версии атаки, нацеленные на разные сервисы.

Этот инцидент наглядно демонстрирует, как злоумышленники эксплуатируют сложность современных облачных экосистем и доверие пользователей к официальным доменам. Борьба с подобными атаками требует комплексного подхода, выходящего за рамки обучения пользователей распознаванию поддельных страниц. Специалистам по безопасности необходимо пересматривать политики контроля доступа, уделяя особое внимание мониторингу аномальной активности, связанной с OAuth-токенами, и внедрять решения для анализа поведения пользователей и приложений. В конечном счёте, даже самые совершенные технические ухищрения злоумышленников не отменяют необходимости фундаментальных мер: принципа наименьших привилегий, многофакторной аутентификации и постоянного повышения осведомлённости о новых векторах угроз.

Domains

• adobe-5zj.nova-tooleyoil-com-s-account.workers.dev
• adobe-qox.jermaine-totalwarehouse-com-s-account.workers.dev
• adobes-secureedocument.hestra65kidig.click
• adobe-t6u.kira-schneider-sanjunranchtx-com-s-account.workers.dev
• c2a2c75c3979.pages.dev
• chronos-sarl-xbw.1c4a473a7a5c2da254228e99.workers.dev
• com.up.microsoft-device-login-adobe.boloniai.com
• dataroom-access-ymo.1c4a473a7a5c2da254228e99.workers.dev
• Docu-signatureeuser-accessnet.customerserredr.click
• Index-81n.account-valuation-statement.workers.dev
• index-r3t.ohbagski601-quicksend-ch-s-account.workers.devcom.up.microsoft-device-login-adobe.boloniai.com
• index-uk3.arianewman33-proton-me-s-account.workers.dev
• index-v0c.11alia-tiffincrane-com-s-account.workers.dev
• Index-xx3.mathieu-renon-lachal-org-s-account.workers.dev
• securviews.calangodesign.com
• www.vranet.site

URLs

• click.mg.gorilladesk.com/c/eJwczktyhCAQANDTyE4LuvkuWGTjNVJAN44lykTNTI6fSk7wHsWiA1YjOCrnUDpECWKhz7tvfERT2RinVCnVSpC-OKkDO9a1YkIH4hGldagcWXIcKtqqbYUE3ivy5DBnsUaQYCXKoCwoDZPOCrPxTAapWpKDlvsyLf1cW0vE1zaVvosWH_f9vAb8GGAeYK7pZ_RnmxLt6zHS1916f46l7-M1plL693FP735ufF4T8WuAOefgSQGaZK3VgUV_H3xGr2UA76w447a2nvlOf4VlT2v7l18RfgMAAP__sQJTiw
• esmen.sbs/AI2zzh-bhOZId-R2d9vE-O63r9b-Vbvkl5-csIhSs-2I97hD-OyViP8-VVLefo-wpqiHu-n45G
• index-328.223bad1b7ee1b4341dc280c5.workers.dev/
• index-ap3.tyler2miler-proton-me-s-account.workers.dev/
• index-u76.mercedes-hcandersonroofing-com-s-account.workers.dev/
• index-w3h.223bad1b7ee1b4341dc280c5.workers.dev/
• jtkmetalcraft.com.au/wp-admin/wp-userfiles
• logost.cfd/F3kL8m-N0pQ4r-T6uV9w-X1yZ2a-B5cD7e-F9gH0i-J2kL4m-N6oP8q-R0sT3u-V5wX7y-Z9aB1c-D4eF
• page-adobe-hx0.kay-7b4.workers.dev/46da9899
• veriqoe.dev/new
• www.glitter.io/guides/cdb21b00-a14b-4313-96fb-7612f4c33538

SHA256

• ec60df6045e6f347a9237a5c7d60db0ccf0bac39c4484fc1dba50be39b7c6452