AI device code phishing: kampanja eskalira

Uvod

Microsoft je otkrio značajnu evoluciju device code phishing napada, pokazujući kako napadači kombinuju generativni AI, automatizaciju i cloud-hostovanu infrastrukturu kako bi kompromitovali Microsoft naloge u velikom obimu. Za bezbednosne timove i Microsoft 365 administratore, ovo je važno jer kampanja cilja legitimne tokove autentikacije umesto da direktno krade lozinke, što je čini težom za otkrivanje pomoću tradicionalnih kontrola.

Šta je novo u ovoj kampanji

Prema navodima Microsoft Defender Security Research tima, ova aktivnost se nadovezuje na ranije tehnike device code phishing napada, ali donosi nekoliko važnih unapređenja:

• Phishing mamci uz podršku AI: Napadači su koristili generativni AI za kreiranje visoko personalizovanih imejlova povezanih sa radnim ulogama i poslovnim scenarijima kao što su fakture, RFP-ovi i proizvodni tokovi rada.
• Dinamičko generisanje device code-a: Umesto oslanjanja na unapred generisane kodove koji ističu za 15 minuta, device code se kreira tek kada korisnik klikne na phishing link.
• Automatizovana cloud infrastruktura: Akteri pretnji koristili su platforme kao što su Railway, Vercel, Cloudflare Workers i AWS Lambda za postavljanje kratkotrajne infrastrukture i lanaca preusmeravanja.
• Saobraćaj koji se uklapa u uobičajeni obrazac: Preusmeravanja kroz pouzdane cloud servise pomažu ovoj aktivnosti da izbegne jednostavne block liste i odbrane zasnovane na reputaciji.
• Zloupotreba tokena nakon kompromitovanja: Kada žrtva završi device login tok, napadači koriste token za eksfiltraciju imejlova, kreiranje inbox pravila i izviđanje putem Microsoft Graph-a.

Zašto je ovo drugačije

Tradicionalni phishing obično pokušava da prikupi kredencijale. U ovom slučaju, napadač navodi korisnika da odobri legitimnu Microsoft device login sesiju koju je napadač prethodno pokrenuo. Pošto se autentikacija odvija na stvarnoj Microsoft stranici za device login, korisnici mogu biti manje sumnjičavi, a MFA može biti manje efikasan ako sesija nije čvrsto vezana za originalni kontekst.

Microsoft ovaj trend povezuje i sa EvilToken, phishing-as-a-service alatom koji podstiče širu zloupotrebu device code tehnike. Upotreba automatizacije i AI predstavlja značajan iskorak u odnosu na kampanju Storm-2372 dokumentovanu 2025. godine.

Uticaj na IT administratore

Timovi za bezbednost i identitet treba da očekuju:

• Uverljivije phishing imejlove usmerene ka korisnicima visoke vrednosti
• Veću zloupotrebu legitimnih OAuth i Microsoft sign-in tokova
• Kompromitovanje zasnovano na tokenima bez krađe lozinki
• Održavanje pristupa putem zlonamernih inbox pravila i skrivenog preusmeravanja pošte
• Izviđanje organizacione strukture putem Microsoft Graph-a

Preporučene mere

Administratori bi trebalo da pregledaju Microsoft smernice za ublažavanje rizika i da daju prioritet sledećem:

• Praćenju sumnjivih aktivnosti device code authentication procesa
• Istraživanju neočekivanih inbox pravila i obrazaca pristupa zasnovanih na tokenima
• Jačanju conditional access i sign-in risk politika gde je to moguće
• Obuci korisnika da neočekivane device login zahteve tretiraju kao sumnjive
• Proaktivnoj potrazi za sumnjivim preusmeravanjima, domenima za lažno predstavljanje i cloud-hostovanom phishing infrastrukturom

Ovo istraživanje podseća da odbrane od phishing napada sada moraju uzeti u obzir zloupotrebu legitimnih tokova autentikacije, a ne samo lažne stranice za prijavu i ukradene lozinke.