Хакеры начали применять механизм авторизации Microsoft Device Authorization Grant (Device Code Flow), который позволяет им получать доступ к корпоративным учетным записям, не прибегая к краже логинов и паролей. Об этом сообщили в «Лаборатории Касперского».

Атака подобного рода осуществлялась с начала апреля до середины мая 2026 года. Она была замаскирована под уведомления от юридической компании. Пользователям приходили электронные письма, содержащие защищенный паролем PDF-файл. После его открытия им предлагалось перейти по ссылке на официальный адрес Microsoft, чтобы ознакомиться с документами. Злоумышленники использовали механизмы переадресации, чтобы перенаправить пользователей на фишинговый сайт, который подделывал портал для просмотра юридических документов.
Как сообщает издание «Газета.ru», сначала пользователю нужно было пройти несколько CAPTCHA, а затем скопировать заранее сгенерированный мошенниками одноразовый код, который требовалось ввести на официальной странице Microsoft. Таким образом, жертва якобы завершала процесс многофакторной аутентификации, хотя на самом деле она сама подтверждала доступ злоумышленников к своей учетной записи.
После того как злоумышленники получали доступ, они могли читать электронные письма, отправлять сообщения от имени пользователя, получать доступ к файлам в Microsoft OneDrive и просматривать переписку в Microsoft Teams.
Ранее стало известно, что, согласно исследованию «Газинформсервиса», с 2022 по 2025 год парадигма киберугроз претерпела значительные изменения – от открытых атак хактивистов и вымогателей все перешло к скрытым, управляемым операциям.
Мошенники начали предлагать через фейковые сайты 1000 робуксов


