Оператор фишинг-платформы Kali365 развернул новую инфраструктуру для атак на российские сервисы и мессенджер MAX

В основе атак лежит техника "device code phishing". Она эксплуатирует легитимный протокол OAuth 2.0 Device Authorization Grant - механизм, предназначенный для устройств, не поддерживающих стандартный интерактивный вход: телевизоров, принтеров, IoT-устройств. Злоумышленник самостоятельно инициирует запрос на получение кода устройства от своего вредоносного приложения, получает от Microsoft легитимный код и встраивает его в фишинговую страницу, имитирующую общий доступ к OneDrive или SharePoint. Жертва вводит этот код на настоящем сайте Microsoft.com/devicelogin и проходит аутентификацию, после чего токены доступа и обновления выдаются напрямую приложению атакующего. Таким образом, злоумышленник получает постоянный доступ к среде Microsoft 365 жертвы, не используя пароль или одноразовые коды многофакторной аутентификации.

Новые находки Arctic Wolf Labs подтверждают, что оператор значительно расширил свою деятельность. Исследователи смогли извлечь логику опроса из ещё работающей фишинговой страницы. Каждые три секунды страница отправляет запрос на сервер panel[.]securehubcloud[.]com, чтобы узнать, завершил ли пользователь аутентификацию. Как только статус становится captured, инструмент понимает, что токены выданы. Тот же запрос выявил адрес панели управления C2 и идентификатор аффилированного партнёра. В новом отчёте Arctic Wolf Labs специалисты описывают, что панель доступна по адресу panel[.]securehubcloud[.]com/login, имеет минималистичный дизайн с надписью PANEL и ссылками на сброс пароля и продление подписки. Последний элемент характерен для экономической модели PhaaS, где доступ предоставляется за абонентскую плату.

Дальнейший анализ привёл к ещё более интересному открытию. Поиск по отпечатку TLS-сертификата C2 и по повторяющемуся заголовку страниц K365 Control позволил выявить домен greatness-marketing[.]top. В отличие от других ресурсов оператора, этот хост оказался не фишинговой страницей для Microsoft 365, а полноценным набором для захвата учётных записей мессенджера MAX.

Мессенджер MAX- это платформа обмена сообщениями, разработанная компанией VK (ранее Mail.ru Group) при поддержке Минцифры России. С марта 2026 года она официально признана социальной сетью и насчитывает более 110 миллионов зарегистрированных пользователей при ежедневной аудитории свыше 80 миллионов человек. Для российской экосистемы это стратегически важный сервис, что делает его привлекательной целью для злоумышленников.

Фишинговая страница на greatness-marketing[.]top замаскирована под розыгрыш призов. Текст сообщает: "Подтверждение выигрыша. Войдите, чтобы получить приз". Жертве предлагают ввести номер мобильного телефона в российском коде +7. Далее на устройство пользователя приходит настоящий одноразовый код от мессенджера MAX. Жертва вводит его на фишинговой странице, полагая, что проверяет выигрыш. Страница также запрашивает пароль двухфакторной аутентификации, если он включён.

После этого все данные - номер телефона, одноразовый код и пароль - отправляются в Telegram-бота @NovosibyrskyMoneyBot. Имя бота, содержащее упоминание Новосибирска и слово "деньги", указывает на давно известную схему мошенничества с призами, адаптированную под новую платформу. После захвата аккаунта злоумышленник получает полный доступ к сообщениям, файлам и контактам жертвы, а затем использует скомпрометированный аккаунт для рассылки той же фишинговой ссылки всем контактам. Такой механизм размножения многократно увеличивает охват атаки.

Помимо MAX и Microsoft 365, оператор Kali365 имитирует множество других сервисов. В общей сложности кластер из 126 хостов обслуживает страницы, подделывающие Mail.ru, Yandex Disk, Odnoklassniki, GMX, Xerox DocuShare, LiveDrive, а также корпоративные системы Okta SSO и даже интерфейсы, стилизованные под Amazon Web Services. Все эти хосты возвращают одинаковый HTTP-заголовок, что доказывает их принадлежность единой инфраструктуре. Шаблон HTML начинается с загрузчика "Preparing your secure document…" и содержит одинаковую логику опроса C2. Такая унификация упрощает обнаружение для специалистов по информационной безопасности, но для обычных пользователей делает атаки практически неотличимыми от легитимных страниц.

Масштаб угрозы трудно переоценить. Оператор совмещает атаки на западные корпоративные системы с целенаправленным нацеливанием на российских потребительских пользователей. Особую опасность представляет захват аккаунтов MAX, так как через него можно влиять на огромную аудиторию, ограниченную по географическому признаку. При этом сам инструмент Kali365 продолжает развиваться. Специалисты отмечают, что фишинговые страницы быстро меняют адреса, используя Cloudflare Workers и единый хостинг, но постоянные элементы - такие как строка "Preparing your secure document…" и отпечаток баннера - позволяют выявлять новые экземпляры.

Для защиты от подобных атак компаниям и частным пользователям стоит обратить внимание на блокировку доменов securehubcloud[.]com и attachedfile[.]com, а также на мониторинг обращений к Telegram из корпоративной сети. Для Microsoft 365 рекомендуется отключить или ограничить аутентификацию через код устройства, если она не требуется для легитимных сценариев. Arctic Wolf Labs продолжает отслеживать этого оператора и обещает публиковать обновления по мере появления новых индикаторов компрометации.

IPv4

• 104.21.32.229
• 172.67.156.83

Domains

• *.attachedfile.com
• *.securehubcloud.com
• api.securehubcloud.com
• attachedfile.com
• boss.securehubcloud.com
• data-form-o5pu.p-ntz8agp6.workers.dev
• greatness-marketing.top
• open-box-rpps.jeff-1fd.workers.dev
• panel.securehubcloud.com
• securehubcloud.com
• tk.mowell.tech

URLs

• panel.securehubcloud.com/login