AI-drevet device code phishing eskalerer

Introduktion

Microsoft har afsløret en markant udvikling inden for device code phishing og viser, hvordan angribere kombinerer generativ AI, automatisering og cloud-hostet infrastruktur for at kompromittere Microsoft-konti i stor skala. For sikkerhedsteams og Microsoft 365-administratorer er dette vigtigt, fordi kampagnen rammer legitime autentificeringsflows frem for direkte at stjæle adgangskoder, hvilket gør den sværere at opdage med traditionelle kontroller.

Hvad er nyt i denne kampagne

Ifølge Microsoft Defender Security Research bygger aktiviteten videre på tidligere device code phishing-teknikker, men tilføjer flere vigtige fremskridt:

• AI-aktiverede phishing-lokkemidler: Angribere brugte generativ AI til at skabe stærkt personaliserede e-mails knyttet til jobroller og forretningsscenarier som fakturaer, RFP'er og produktionsworkflows.
• Dynamisk generering af device code: I stedet for at være afhængig af forudgenererede koder, der udløber efter 15 minutter, oprettes device code først, når brugeren klikker på phishing-linket.
• Automatiseret cloud-infrastruktur: Trusselsaktører brugte platforme som Railway, Vercel, Cloudflare Workers og AWS Lambda til at implementere kortlivet infrastruktur og redirect-kæder.
• Trafik, der falder ind i mængden: Redirects via betroede cloud-tjenester hjælper aktiviteten med at undgå simple bloklister og omdømmebaserede forsvar.
• Misbrug af tokens efter kompromittering: Når et offer fuldfører device login-flowet, bruger angribere tokenet til e-maileksfiltrering, oprettelse af inbox rules og rekognoscering via Microsoft Graph.

Hvorfor dette er anderledes

Traditionel phishing forsøger normalt at opsnappe legitimationsoplysninger. I dette tilfælde narrer angriberen brugeren til at godkende en legitim Microsoft device login-session, som angriberen selv har startet. Fordi autentificeringen sker på Microsofts rigtige device login-side, kan brugerne være mindre mistænksomme, og MFA kan være mindre effektivt, hvis sessionen ikke er stærkt bundet til den oprindelige kontekst.

Microsoft kobler også denne tendens til EvilToken, et phishing-as-a-service-værktøjssæt, der driver bredere misbrug af device code. Brugen af automatisering og AI markerer et væsentligt skridt op fra Storm-2372-kampagnen, som blev dokumenteret i 2025.

Konsekvenser for IT-administratorer

Sikkerheds- og identity-teams bør forvente:

• Mere overbevisende phishing-e-mails rettet mod højt prioriterede brugere
• Øget misbrug af legitime OAuth- og Microsoft sign-in-flows
• Token-baseret kompromittering uden tyveri af adgangskoder
• Persistens via ondsindede inbox rules og skjult videresendelse af mail
• Rekognoscering mod organisationsstruktur via Microsoft Graph

Anbefalede tiltag

Administratorer bør gennemgå Microsofts vejledning til afbødning og prioritere:

• Overvågning af mistænkelig aktivitet relateret til device code authentication
• Undersøgelse af uventede inbox rules og token-baserede adgangsmønstre
• Hærdning af conditional access og sign-in risk policies, hvor det er muligt
• Træning af brugere i at betragte uopfordrede device login-prompter som mistænkelige
• Hunting efter mistænkelige redirects, impersonation-domæner og cloud-hostet phishing-infrastruktur

Denne research er en påmindelse om, at phishing-forsvar nu også skal tage højde for misbrug af legitime autentificeringsworkflows, ikke kun falske login-sider og stjålne adgangskoder.