Активная фишинговая кампания, нацеленная на учетные записи Microsoft 365, затронула более 340 организаций в США, Канаде, Австралии, Новой Зеландии и Германии. По данным Huntress, активность была впервые зафиксирована 19 февраля 2026 года и с тех пор демонстрирует устойчивый рост, используя device code phishing и облачную инфраструктуру для массового сбора учетных данных.
Масштаб атаки на Microsoft 365: более 340 организаций под ударом
Под ударом оказались компании из самых разных отраслей: строительство, некоммерческий сектор, девелопмент и недвижимость, производство, финансовые услуги, здравоохранение, юридические фирмы и органы власти. Такой разброс указывает на то, что злоумышленников интересуют прежде всего доступ к корпоративной почте и облачным данным, а не конкретная отрасль.
Huntress отмечает, что злоумышленники активно используют Cloudflare Workers для перенаправления трафика и инфраструктуру PaaS-провайдера Railway в качестве «движка» по сбору учетных данных. Небольшой кластер IP-адресов Railway используется для злоупотребления аутентификацией, причем около 84% зафиксированных событий приходится всего на три адреса.
Что такое фишинг с кодом устройства в OAuth и почему он опасен
Device code phishing — это злоупотребление легитимным OAuth device authorization flow, который обычно применяется для входа на устройствах без полноценного браузера (например, ТВ-приставки или IoT-устройства). Пользователю показывается короткий код и предлагается ввести его на доверенном домене, например microsoft[.]com/devicelogin.
Ключевой риск в том, что атакующий получает долговременные OAuth-токены, привязанные к учетной записи жертвы. Эти токены зачастую остаются действительными даже после смены пароля, что обеспечивает устойчивый несанкционированный доступ к Microsoft 365 без необходимости повторного ввода учетных данных.
Подобные атаки впервые детально описывались Microsoft и Volexity в феврале 2025 года. Позднее Amazon Threat Intelligence и Proofpoint зафиксировали новые волны активности. Ряд кампаний связывают с группами, ассоциированными с Россией, включая Storm-2372, APT29, UTA0304, UTA0307 и UNK_AcademicFlare.
Цепочка атаки: от письма до кражи токенов Microsoft 365
Злоупотребление Cloudflare Workers, Railway и легитимными редиректами
Атака начинается с фишингового письма, в котором вредоносная ссылка скрывается за редирект-сервисами известных вендоров ИБ — Cisco, Trend Micro и Mimecast. Это позволяет обойти спам-фильтры и создать у пользователя ощущение надежности. Далее запускается цепочка перенаправлений через скомпрометированные сайты, Cloudflare Workers и Vercel, после чего жертва попадает на финальную посадочную страницу.
Посадочные страницы оформлены под различные сценарии: тендерная документация в строительстве, DocuSign, голосовые сообщения, уведомления через Microsoft Forms. Общий элемент — предложение перейти к «просмотру файлов» и ввести уже сгенерированный код устройства. Важная деталь: код отображается прямо на странице, что указывает на автоматическую генерацию и упрощает процесс для жертвы.
Кнопка «Continue to Microsoft» открывает всплывающее окно с подлинным endpoint microsoft[.]com/devicelogin. С технической точки зрения аутентификация происходит на инфраструктуре Microsoft, поэтому пользователь не видит очевидных признаков подделки, а введенный им код «привязывает» токены к запросу, инициированному злоумышленником через API.
Практически все обнаруженные сайты фишинга кода устройства размещены на доменах вида workers[.]dev, что показывает, как злоумышленники используют доверие к Cloudflare в корпоративной среде для обхода веб-фильтрации и систем анализа трафика.
Роль EvilTokens и эволюция фишинга как услуги (PhaaS)
Huntress связывает обнаруженную активность Railway с новой платформой phishing-as-a-service (PhaaS), получившей название EvilTokens. Этот сервис, запущенный в Telegram в прошлом месяце, предлагает клиентам инструменты для рассылки фишинговых писем, обхода спам-фильтров и управления кампаниями через единый дашборд.
EvilTokens предоставляет заказчикам ссылки с открытым редиректом на уязвимых доменах, что помогает дополнительно маскировать фишинговые URL. Отдельно подчеркивается наличие 24/7 службы поддержки и канала обратной связи, что подтверждает тенденцию «профессионализации» киберпреступных сервисов.
Продвинутые техники уклонения: анти-бот, анти-анализ и защита от исследователей
Параллельно аналитики Unit 42 (Palo Alto Networks) предупредили о схожей кампании device code phishing, впервые зафиксированной 18 февраля 2026 года. На этих страницах используется комплекс анти-бот и анти-анализ механизмов, а при загрузке страницы происходит незаметная для пользователя передача cookies браузера злоумышленнику.
Фишинговые сайты блокируют клик правой кнопкой мыши, выделение текста, операции перетаскивания, а также комбинации клавиш для вызова инструментов разработчика (F12, Ctrl+Shift+I/C/J) и просмотра исходного кода (Ctrl+U). Дополнительно реализовано обнаружение активных DevTools через анализ размеров окна; при выявлении анализа запускается бесконечный цикл отладчика, усложняющий работу исследователей и автоматизированных сканеров.
Организациям, использующим Microsoft 365, рекомендуется проверить журналы входов на наличие логинов с IP-адресов Railway, отозвать все refresh-токены затронутых пользователей и, по возможности, заблокировать попытки аутентификации с инфраструктуры Railway. Критично важно обучать сотрудников распознавать запросы на ввод кода устройства и всегда перепроверять контекст таких запросов, даже если страница аутентификации принадлежит легитимному домену Microsoft.
С учетом роста платформ PhaaS и усложнения фишинговых схем компаниям стоит усилить контроль над OAuth-приложениями, настроить политики условного доступа, мониторинг аномальной активности и регулярно проводить обучение персонала. Инвестиции в эти меры позволяют существенно снизить вероятность успешной компрометации токенов и долгосрочного захвата облачной инфраструктуры.
