Phishing device code AI: kampania eskaluje

Wprowadzenie

Microsoft ujawnił istotną ewolucję phishingu device code, pokazując, jak atakujący łączą generatywne AI, automatyzację i infrastrukturę hostowaną w chmurze, aby na dużą skalę przejmować konta Microsoft. Dla zespołów bezpieczeństwa i administratorów Microsoft 365 ma to znaczenie, ponieważ kampania wykorzystuje legalne przepływy uwierzytelniania zamiast bezpośrednio kraść hasła, co utrudnia wykrywanie przy użyciu tradycyjnych mechanizmów kontroli.

Co nowego w tej kampanii

Według Microsoft Defender Security Research działania rozwijają wcześniejsze techniki phishingu device code, ale dodają kilka istotnych usprawnień:

• Przynęty phishingowe wspierane przez AI: Atakujący używali generatywnego AI do tworzenia silnie spersonalizowanych wiadomości e-mail powiązanych z rolami zawodowymi i scenariuszami biznesowymi, takimi jak faktury, RFP i procesy produkcyjne.
• Dynamiczne generowanie device code: Zamiast polegać na kodach wygenerowanych wcześniej, które wygasają po 15 minutach, device code jest tworzony dopiero w momencie kliknięcia przez użytkownika w link phishingowy.
• Zautomatyzowana infrastruktura chmurowa: Aktorzy zagrożeń wykorzystywali platformy takie jak Railway, Vercel, Cloudflare Workers i AWS Lambda do wdrażania krótkotrwałej infrastruktury oraz łańcuchów przekierowań.
• Ruch wtapiający się w tło: Przekierowania przez zaufane usługi chmurowe pomagają tej aktywności omijać proste blocklisty i mechanizmy obrony oparte na reputacji.
• Nadużycie tokenów po przejęciu: Gdy ofiara ukończy przepływ logowania urządzenia, atakujący wykorzystują token do eksfiltracji poczty, tworzenia reguł skrzynki odbiorczej i rekonesansu w Microsoft Graph.

Dlaczego to się różni

Tradycyjny phishing zwykle próbuje przechwycić poświadczenia. W tym przypadku atakujący nakłania użytkownika do zatwierdzenia legalnej sesji logowania urządzenia Microsoft, którą sam wcześniej zainicjował. Ponieważ uwierzytelnienie odbywa się na prawdziwej stronie logowania urządzeń Microsoft, użytkownicy mogą być mniej podejrzliwi, a MFA może być mniej skuteczne, jeśli sesja nie jest silnie powiązana z pierwotnym kontekstem.

Microsoft łączy ten trend także z EvilToken, zestawem phishing-as-a-service napędzającym szersze nadużycia device code. Wykorzystanie automatyzacji i AI stanowi znaczący krok naprzód względem kampanii Storm-2372 udokumentowanej w 2025 roku.

Wpływ na administratorów IT

Zespoły bezpieczeństwa i tożsamości powinny spodziewać się:

• Bardziej przekonujących wiadomości phishingowych wymierzonych w użytkowników o wysokiej wartości
• Częstszych nadużyć legalnych przepływów OAuth i logowania Microsoft
• Przejęć opartych na tokenach bez kradzieży haseł
• Utrwalania dostępu poprzez złośliwe reguły skrzynki odbiorczej i ukryte przekierowania poczty
• Rekonesansu struktury organizacyjnej przez Microsoft Graph

Zalecane działania

Administratorzy powinni przejrzeć wskazówki Microsoft dotyczące ograniczania ryzyka i nadać priorytet:

• Monitorowaniu podejrzanej aktywności device code authentication
• Badaniu nieoczekiwanych reguł skrzynki odbiorczej i wzorców dostępu opartych na tokenach
• Wzmacnianiu Conditional Access oraz zasad ryzyka logowania tam, gdzie to możliwe
• Szkoleniu użytkowników, aby traktowali niezamówione monity logowania urządzenia jako podejrzane
• Polowaniu na podejrzane przekierowania, domeny podszywające się oraz infrastrukturę phishingową hostowaną w chmurze

To badanie przypomina, że mechanizmy obrony przed phishingiem muszą dziś uwzględniać nadużywanie legalnych przepływów uwierzytelniania, a nie tylko fałszywe strony logowania i skradzione hasła.