Фишинг с использованием кодов устройств, злоупотребляющий потоком OAuth 2.0 Device Authorization Grant для захвата аккаунтов, вырос более чем в 37 раз. Эксперты выявили не менее 11 фишинговых наборов, включая EvilTokens, использующих облачные платформы. — bleepingcomputer.com
Атаки фишинга с использованием кодов устройств, злоупотребляющие потоком OAuth 2.0 Device Authorization Grant для захвата учетных записей, выросли более чем в 37 раз в этом году.
При таком типе атаки злоумышленник отправляет запрос на авторизацию устройства поставщику услуг и получает код, который под различными предлогами пересылается жертве.
Затем жертву обманом заставляют ввести этот код на легитимной странице входа, тем самым авторизуя устройство злоумышленника для доступа к учетной записи посредством действительных токенов доступа и обновления.
Этот поток был разработан для упрощения подключения устройств, не имеющих доступных опций ввода (например, IoT-устройства, принтеры, потоковые устройства и смарт-телевизоры).
Техника фишинга с кодами устройств была впервые задокументирована в 2020 году, но вредоносное использование было зафиксировано на несколько лет позже и применялось как государственными хакерами, так и теми, кто мотивирован финансово [1, 2, 3, 4].
Исследователи из Push Security зафиксировали массовый рост использования этих атак, предупреждая, что они получили широкое распространение среди киберпреступников.
«В начале марта (2026 года) наша исследовательская группа обнаружила 15-кратный рост числа страниц фишинга с кодами устройств, выявленных в этом году, при этом отслеживалось несколько наборов инструментов (китов) и кампаний — наиболее заметным стал набор, идентифицированный как EvilTokens. Сейчас этот показатель вырос до 37,5 раза» — Push Security
Ранее на этой неделе компания Sekoia, занимающаяся обнаружением угроз и реагированием на них, опубликовала исследование об операции EvilTokens — фишинге как услуге (PhaaS). Исследователи подчеркивают, что это яркий пример фишингового набора инструментов, который «демократизирует» фишинг с кодами устройств, делая его доступным для низкоквалифицированных киберпреступников.
Push соглашается, что EvilTokens стал основным двигателем массового внедрения этой техники, но отмечает, что на том же рынке конкурируют несколько других платформ, которые могут стать более заметными в случае пресечения деятельности EvilTokens правоохранительными органами:
- VENOM – Закрытый PhaaS-кит, предлагающий возможности как фишинга с кодами устройств, так и AiTM. Его компонент для кодов устройств, по-видимому, является клоном EvilTokens.
- SHAREFILE – Кит, тематически связанный с передачей документов Citrix ShareFile, использующий узловые серверные конечные точки для имитации совместного использования файлов и запуска потоков кодов устройств.
- CLURE – Кит, использующий вращающиеся конечные точки API и защиту от ботов, с приманками в стиле SharePoint и серверной инфраструктурой на DigitalOcean.
- LINKID – Кит, использующий страницы вызовов Cloudflare и размещенные самостоятельно API, с приманками в стиле Microsoft Teams и Adobe.
- AUTHOV – Кит, размещенный на workers.dev, использующий ввод кодов устройств через всплывающие окна и приманки для совместного использования документов Adobe.
- DOCUPOLL – Кит, размещенный на GitHub Pages и workers.dev, имитирующий рабочие процессы DocuSign, включая внедренные копии реальных страниц.
- FLOW_TOKEN – Кит, размещенный на workers.dev, использующий серверную инфраструктуру Tencent Cloud, с приманками в стиле HR и DocuSign и потоками на основе всплывающих окон.
- PAPRIKA – Кит, размещенный на AWS S3, использующий клоны страниц входа Microsoft с брендингом Office 365 и поддельным нижним колонтитулом Okta.
- DCSTATUS – Минималистичный кит с общими приманками Microsoft 365 «Secure Access» и ограниченными видимыми маркерами инфраструктуры.
- DOLCE – Кит, размещенный на Microsoft PowerApps, с приманками в стиле Dolce & Gabbana, вероятно, одноразовая реализация или в стиле red team, а не широко используемая.
Push Security также опубликовала видео, демонстрирующее работу кита DOCUPOLL. Злоумышленник использует брендинг DocuSign и приманку в виде предполагаемого контракта, прося жертву войти в приложение Microsoft Office.
В общей сложности существует не менее 11 фишинговых наборов инструментов, предлагающих киберпреступникам такой тип атак; все они используют реалистичные приманки в стиле SaaS, защиту от ботов и злоупотребляют облачными платформами для хостинга.
Чтобы заблокировать атаки фишинга с кодами устройств, Push Security рекомендует пользователям отключать этот поток, когда он не нужен, путем настройки политик условного доступа для своих учетных записей.
Также рекомендуется отслеживать журналы на предмет неожиданных событий аутентификации по коду устройства, необычных IP-адресов и сеансов.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas