Нова хвиля цілеспрямованих фішингових атак на Microsoft 365 демонструє, наскільки швидко кримінальний ринок пристосовує легітимні хмарні сервіси під власні потреби. За даними Huntress, кампанія, яку вперше зафіксовано 19 лютого 2026 року, уже вразила понад 340 організацій у США, Канаді, Австралії, Новій Зеландії та Німеччині, активно використовуючи device code phishing та інфраструктуру PaaS для масового збору облікових даних.
Масштаб фішингу Microsoft 365 та задіяні галузі
Під атаку потрапили компанії з широкого спектра секторів: будівництво, некомерційні організації, девелопмент та нерухомість, виробництво, фінансові послуги, охорона здоров’я, юридичні фірми та державні органи. Такий розкид цілей свідчить, що ключовим мотивом є не шпигунство в конкретній галузі, а отримання стійкого доступу до корпоративної пошти, файлів та хмарних сервісів Microsoft 365.
За спостереженнями Huntress, зловмисники широко застосовують Cloudflare Workers для побудови ланцюга редиректів, а платформу PaaS-провайдера Railway — як основний «двигун» збору облікових даних. Невеликий кластер IP-адрес Railway використовується для зловживання аутентифікацією: близько 84% зафіксованих подій припадає лише на три IP, що суттєво спрощує побудову правил моніторингу.
Device code phishing та OAuth: чому токени небезпечніші за паролі
Device code phishing експлуатує легітимний механізм OAuth device authorization flow, який Microsoft застосовує для авторизації на пристроях без повноцінного браузера (телевізійні приставки, IoT-пристрої тощо). Користувач отримує короткий код та інструкцію ввести його на офіційному домені на кшталт microsoft[.]com/devicelogin, що автоматично викликає високий рівень довіри.
Критичний ризик полягає в тому, що в результаті успішної атаки зловмисник отримує довгоживучі OAuth-токени, пов’язані з обліковим записом жертви. Такі токени (особливо refresh-токени) дозволяють створювати нові сеанси доступу до Microsoft 365 навіть після зміни пароля, фактично обходячи класичні заходи реагування на компрометацію облікового запису.
Подібні техніки вперше детально описувалися у звітах Microsoft та Volexity у лютому 2025 року. Згодом активність підтвердили Amazon Threat Intelligence та Proofpoint. Частину кампаній пов’язують з групами, асоційованими з Росією (зокрема Storm-2372, APT29, UTA0304, UTA0307, UNK_AcademicFlare), що вкладається в загальну тенденцію переходу державних та квазідержавних акторів на моделі «фішинг як сервіс».
Ланцюг атаки: від листа до викрадення токенів Microsoft 365
Зловживання легітимними редиректами, Cloudflare Workers та Railway
Початковий вектор — фішингові листи, де шкідлива URL-адреса маскується під безпечне посилання за допомогою редирект-сервісів відомих вендорів безпеки (Cisco, Trend Micro, Mimecast). Це ускладнює детекцію на рівні захисту пошти та створює ілюзію надійності для користувача.
Після кліку запускається низка перенаправлень через скомпрометовані вебсайти, Cloudflare Workers та платформу Vercel, що врешті приводить жертву на фінальну посадкову сторінку. Остання оформлюється під різні бізнес-сценарії: тендерна документація, DocuSign, голосові повідомлення, нотифікації Microsoft Forms. Незмінний елемент — заклик «переглянути файли» і вже попередньо згенерований код пристрою, який показується прямо на сторінці.
Натискання кнопки «Continue to Microsoft» відкриває спливаюче вікно з реальним endpoint microsoft[.]com/devicelogin. Аутентифікація виконується безпосередньо на інфраструктурі Microsoft, тому візуально все виглядає коректно, а фішингова складова захована в попередньо ініційований зловмисником запит до API. Введений користувачем код «прив’язує» OAuth-токени до сесії атакувальника.
Більшість виявлених сторінок device code phishing розміщені на доменах формату workers[.]dev. Для багатьох організацій трафік до Cloudflare є звичним та часто не фільтрується так жорстко, як до невідомих доменів, що дозволяє обходити веб-фільтрацію, проксі та засоби аналізу трафіку.
EvilTokens: phishing-as-a-service для атак на Microsoft 365
Huntress пов’язує активність, що використовує Railway, із новою платформою phishing-as-a-service (PhaaS) під назвою EvilTokens. Сервіс, запущений у Telegram, надає клієнтам повний набір інструментів для масових фішингових розсилок, обходу спам-фільтрів та керування кампаніями через єдиний дашборд.
EvilTokens генерує для замовників URL-адреси з відкритими редиректами на вразливих доменах, додатково маскуючи фішингові посилання. Характерною рисою є наявність «підтримки 24/7» та каналів зворотного зв’язку, що підтверджує подальшу «комерціалізацію» та професіоналізацію кіберзлочинних сервісів.
Анти-бот та анти-аналіз: як фішингові сайти блокують дослідників
Фахівці Unit 42 (Palo Alto Networks) повідомляють про споріднену кампанію device code phishing, яку вперше зафіксували 18 лютого 2026 року. Ці сайти поєднують кілька рівнів анти-бот та анти-аналіз захисту і непомітно для користувача передають cookies браузера на сторону зловмисника ще на етапі завантаження сторінки.
Фішингові ресурси блокують правий клік мишею, виділення тексту, перетягування елементів, а також гарячі клавіші для виклику інструментів розробника (F12, Ctrl+Shift+I/C/J) та перегляду вихідного коду (Ctrl+U). Додатково реалізовано виявлення активних DevTools за зміною розмірів вікна; у разі виявлення аналізу запускається нескінченний цикл відладчика, що ускладнює роботу дослідників і автоматизованих сканерів.
Організаціям, які використовують Microsoft 365, доцільно проаналізувати журнали входу на предмет аутентифікацій із IP-адрес Railway, оперативно відкликати всі refresh-токени підозрілих облікових записів та, за можливості, заблокувати спроби входу з інфраструктури Railway на рівні політик доступу. Не менш важливо навчити співробітників критично ставитися до будь-яких запитів на введення коду пристрою, навіть якщо вікно авторизації належить офіційному домену Microsoft.
З огляду на стрімкий розвиток платформ PhaaS та зростання складності фішингових схем, компаніям варто посилити контроль за OAuth-додатками, впровадити політики умовного доступу, налаштувати моніторинг аномальної активності та регулярно проводити навчання персоналу. Інвестиції у ці напрями суттєво знижують ризик компрометації токенів, довготривалого захоплення хмарної інфраструктури та допомагають залишатися на крок попереду фішингових операторів на кшталт EvilTokens.
