Обнаружена активная фишинговая кампания с использованием легитимного протокола Device Code Flow в Microsoft 365

phishing

Специалисты компании ReversingLabs (RL) выявили новую волну фишинговых атак на пользователей Microsoft 365, построенную на эксплуатации легитимного потока авторизации OAuth 2.0 Device Authorization Grant. Вместо традиционного хищения паролей через поддельную страницу входа мошенники побуждают жертву самостоятельно предоставить доступ к своей учётной записи через официальный интерфейс Microsoft. Такой подход обходит большинство распространённых средств защиты, включая многофакторную аутентификацию и поведенческий анализ.

Описание

Кампанию обнаружили в конце мая 2026 года. Злоумышленники используют особый фишинговый набор, который имитирует стандартную процедуру входа в корпоративную или личную учётную запись. Жертве приходит письмо с просьбой перейти по ссылке на легитимный домен Microsoft (aka.ms/devicelogin) и ввести сгенерированный код. На самом деле этот код привязывает к учётной записи атакующее устройство, которое получает полный доступ к почте, файлам и корпоративным приложениям. Никаких признаков взлома в классическом смысле не возникает - зайти в профиль жертвы теперь может сам нападающий под видом зарегистрированного доверенного устройства.

Основная сложность обнаружения таких атак заключается в том, что весь диалог с пользователем происходит на официальных серверах Microsoft. Вредоносное содержимое находится только на самой фишинговой странице, которая загружается до перенаправления на настоящий портал аутентификации. Именно эту стартовую страницу RL удалось проанализировать и описать в своём отчёте. Страница содержит небольшой HTML-код, в который встроена маскировка с использованием управляющих символов Юникода - так называемых нулевой ширины пробелов и непротяжённых соединителей. Эти символы невидимы для человека, но помогают обходить фильтры на основе регулярных выражений и строковые сигнатуры.

Исследователи подготовили YARA-правило для выявления таких страниц. Оно проверяет одновременно несколько ключевых индикаторов: наличие ссылки на легитимный URL авторизации Microsoft (login.microsoftonline.com/common/oauth2/deviceauth), присутствие невидимых управляющих символов Юникода, строку “dc=”, а также отдельную зашифрованную константу, характерную для данного набора. Дополнительным ограничением выступает размер файла - менее 1 МБ, что отсекает заведомо нерелевантные образцы. Это правило уже встроено в аналитическую платформу Spectra Analyze от ReversingLabs и позволяет проводить массовый ретроспективный поиск.

При запуске облачной ретро-охоты в Spectra Analyze с использованием данного правила было обнаружено 765 совпадений. Новейшие образцы датированы всего несколькими часами до момента публикации отчёта - это подтверждает, что кампания продолжается. Каждая совпавшая запись представляет собой HTML-ответ, полученный после перехода на фишинговую страницу. Уникальная особенность сервиса Spectra Intelligence заключается в том, что при анализе URL он сохраняет весь ответ страницы как самостоятельный файл первого порядка. Это делает возможным прямой поиск по содержимому без необходимости повторного обращения к исходному ресурсу, который к тому моменту может быть уже недоступен.

Дальнейшее исследование показывает, что фишинговая страница размещается на различных скомпрометированных или подставных сайтах. После ввода кода на странице подставного ресурса жертва перенаправляется на настоящий Microsoft, где фактически завершает авторизацию. Нападающий получает refresh token и может сохранять доступ к аккаунту даже после смены пароля. Для жертвы весь процесс выглядит абсолютно обыденно: она переходит по рабочей ссылке, видит логотип Microsoft и вводит код - ничего необычного. Однако после этого злоумышленник может читать корпоративную переписку, получать доступ к SharePoint, OneDrive и Teams, а также рассылать дальнейшие фишинговые письма уже от имени скомпрометированной учётной записи.

Подобные атаки особенно опасны для организаций с включённым строгим контролем доступа. Многие компании настраивают условный доступ, который допускает вход только с подтверждённых устройств. Атака Device Code Flow позволяет зарегистрировать новое устройство, которое уже подпадает под политики доверия. Со стороны SOC и систем обнаружения вторжений это выглядит как легитимная регистрация - только журналы аудита могут показать, что код был введён с необычного IP-адреса или в нехарактерное время, но это часто теряется в общем потоке событий.

Для снижения рисков следует принять несколько превентивных мер. В организации необходимо отключить или ограничить поток Device Code Flow для пользователей, которым он не требуется. В Azure AD это настраивается в политиках аутентификации путём блокировки потока OAuth 2.0 Device Authorization Grant. Администраторам рекомендуется отслеживать в логах случаи входа по этому протоколу - особенно с неизвестных IP-адресов или географических зон. Пользователей стоит предупредить, что запрос на ввод кода на домене aka.ms/devicelogin может быть легитимным только для заранее объявленных сценариев (например, настройка принтера или вход на устройство без браузера). Любое неожиданное письмо с такой инструкцией должно вызывать подозрение.

Разработанное YARA-правило можно применить не только в платформе ReversingLabs, но и в других инструментах, поддерживающих этот формат. Оно нацелено именно на HTML-содержимое фишинговой страницы, то есть позволяет обнаружить набор ещё до того, как жертва ввела код. Компании могут использовать его для мониторинга веб-трафика или анализа файлов, проходящих через почтовые шлюзы. Важно, что правило содержит как строковые сигнатуры, так и байтовые последовательности, включая специфичную подсеть статически зашифрованных данных - эта особенность даёт высокую специфичность и снижает число ложных срабатываний.

Текущая активность демонстрирует, что злоумышленники быстро адаптируют легитимные механизмы аутентификации для обхода защиты. Метод Device Code Flow не является уязвимостью - это штатная функция Microsoft 365, предназначенная для входа на устройства без клавиатуры (телевизоры, консоли, интернет-вещи). Однако её использование в фишинговых сценариях стало трендом последних двух лет. Компаниям необходимо пересмотреть свои политики безопасности, чтобы либо полностью отключить этот протокол, либо поставить его применение под строгий аудит. Без таких изменений даже самая современная защита на основе многофакторной аутентификации оказывается бесполезной: противник не взламывает пароль, а получает легитимный токен доступа добровольно от самого пользователя.

Индикаторы компрометации

Комментарии: 0