Эксперты «Лаборатории Касперского» обнаружили фишинговую кампанию, в которой злоумышленники используют механизм...
07 Июля 2026 13:56 07 Июл 2026 13:56 |
Эксперты «Лаборатории Касперского» обнаружили фишинговую кампанию, в которой злоумышленники используют механизм авторизации Microsoft — Device Authorization Grant (Device Code Flow). Атака наблюдалась с начала апреля по середину мая 2026 г. и была стилизована под уведомления от юридической фирмы. Ее цель — получение токенов учетной записи жертвы для последующей компрометации корпоративных данных. Об этом CNews сообщили представители «Лаборатории Касперского».
В чем суть. Механизм Device Authorization Grant предназначен для авторизации на устройствах с ограниченными возможностями ввода, например умных телевизоров, IoT-девайсов или принтеров. Для входа в учетную запись пользователь использует другое устройство — смартфон или компьютер, где вводит одноразовый код или сканирует QR-код для подтверждения авторизации. Однако этот же механизм может использоваться злоумышленниками для компрометации учетных записей.
В ходе атаки пользователи получали письма якобы от юридической фирмы с приложенным PDF-файлом, защищенным паролем. После открытия документа и ввода пароля пользователь видел страницу со списком документов, однако для их просмотра требовалось перейти по ссылке. Она вела на легитимный адрес Microsoft, однако использовала механизм переадресации, который перенаправлял пользователя на фишинговый ресурс, имитирующий портал для просмотра юридических документов.
После прохождения нескольких CAPTCHA пользователю предлагалось скопировать одноразовый код, заранее сгенерированный злоумышленниками при запуске процесса авторизации. Затем пользователь перенаправлялся на официальную страницу Microsoft для ввода этого кода и завершал процесс многофакторной аутентификации, тем самым подтверждая доступ злоумышленников к своей учетной записи.
Получив токены текущей сессии, злоумышленники могли читать переписку жертвы и отправлять письма от ее имени, получать доступ к файлам в Microsoft OneDrive и просматривать чаты в Microsoft Teams.
«Злоумышленники не всегда используют вредоносное ПО или крадут логины и пароли для получения доступа к конфиденциальной информации — все чаще они злоупотребляют легитимными инструментами и механизмами авторизации. Поэтому пользователям необходимо проявлять бдительность не только при посещении подозрительных сайтов, но и при работе с официальными платформами, — сказал Роман Деденок, эксперт по кибербезопасности в «Лаборатории Касперского». — Организациям стоит проанализировать, действительно ли Device Code Flow необходимо использовать в корпоративной инфраструктуре, и, если этот сценарий не используется в бизнес-процессах, отключить его».
Дополнительную защиту от атак такого рода помогут обеспечить надежные решения для защиты электронной почты, гарантирующие безопасность корпоративной и личной переписки.
Ранее эксперты «Лаборатории Касперского» также фиксировали фишинговые кампании, злоупотреблявшие возможностями Google Tasks, Google Forms, Bubble и Amazon Simple Email Service.