Зафиксирована новая фишинговая кампания
Эксперты «Лаборатории Касперского» обнаружили фишинговую кампанию, в которой злоумышленники используют механизм авторизации Microsoft — Device Authorization Grant (Device Code Flow). Атака наблюдалась с начала апреля по середину мая 2026 года и была стилизована под уведомления от юридической фирмы. Ее цель — получение токенов учетной записи жертвы для последующей компрометации корпоративных данных.
Механизм Device Authorization Grant предназначен для авторизации на устройствах с ограниченными возможностями ввода, например умных телевизоров, IoT-девайсов или принтеров. Для входа в учетную запись пользователь использует другое устройство — смартфон или компьютер, где вводит одноразовый код или сканирует QR-код для подтверждения авторизации. Однако этот же механизм может использоваться злоумышленниками для компрометации учетных записей.
В ходе атаки пользователи получали письма якобы от юридической фирмы с приложенным PDF-файлом, защищенным паролем. После открытия документа и ввода пароля пользователь видел страницу со списком документов, однако для их просмотра требовалось перейти по ссылке. Она вела на легитимный адрес Microsoft, однако использовала механизм переадресации, который перенаправлял пользователя на фишинговый ресурс, имитирующий портал для просмотра юридических документов.
Ссылка в документе перенаправляет пользователя с платформы Microsoft на фишинговую страницу, имитирующую портал для просмотра юридических документов
После прохождения нескольких CAPTCHA пользователю предлагалось скопировать одноразовый код, заранее сгенерированный злоумышленниками при запуске процесса авторизации. Затем пользователь перенаправлялся на официальную страницу Microsoft для ввода этого кода и завершал процесс многофакторной аутентификации, тем самым подтверждая доступ злоумышленников к своей учётной записи.
Получив токены текущей сессии, злоумышленники могли читать переписку жертвы и отправлять письма от её имени, получать доступ к файлам в Microsoft OneDrive и просматривать чаты в Microsoft Teams.
«Злоумышленники не всегда используют вредоносное ПО или крадут логины и пароли для получения доступа к конфиденциальной информации — всё чаще они злоупотребляют легитимными инструментами и механизмами авторизации. Поэтому пользователям необходимо проявлять бдительность не только при посещении подозрительных сайтов, но и при работе с официальными платформами, — говорит Роман Деденок, эксперт по кибербезопасности в „Лаборатории Касперского“. — Организациям стоит проанализировать, действительно ли Device Code Flow необходимо использовать в корпоративной инфраструктуре, и, если этот сценарий не используется в бизнес-процессах, отключить его».
Фото из открытых источников
Если вы обнаружили ошибку или опечатку, выделите фрагмент текста с ошибкой и нажмите CTRL+Enter
Добавить комментарий