Исследователи описали новую кампанию против Microsoft 365, где злоумышленники используют инструмент DEBULL и легитимный механизм входа Microsoft через код устройства. Цели атаковали с конца июня до начала июля 2026 года, приманки маскировались под рабочее взаимодействие и совместные документы. Главная особенность схемы — жертву не ведут на поддельную страницу Microsoft. Пользователь сам открывает настоящий домен Microsoft, вводит код и проходит обычную многофакторную проверку. В этот момент доступ получает устройство атакующего.
Такой приём называют фишинг через код устройства. Нормальный сценарий нужен для устройств, где неудобно вводить логин и пароль: телевизоров, принтеров, терминалов, CLI-инструментов. Устройство показывает короткий код, пользователь вводит его на странице Microsoft, подтверждает вход, а устройство получает токены. В атаке всё переворачивается: код создаёт не доверенное устройство, а злоумышленник. Пользователь видит настоящий Microsoft-вход и не понимает, что авторизует чужую сессию.
DEBULL не крадёт пароль в классическом смысле. Ему нужны OAuth-токены — цифровые ключи, которые подтверждают, что пользователь уже прошёл вход. Если атака успешна, оператор получает доступ к Microsoft 365: почте, файлам, OneDrive, SharePoint и данным, доступным через Microsoft Graph API. The Hacker News пишет, что DEBULL вписывается в тренд на более широкий рост платформ для фишинга как услуги, где токены становятся главным товаром.
Опасность в том, что многофакторную аутентификацию проходит сам пользователь: вводит код на настоящем сайте Microsoft, подтверждает вход тем способом, который требует организация, и тем самым завершает выдачу токена атакующему устройству. Microsoft ранее уже описывала массовые кампании с device code flow и предупреждала, что злоумышленники используют знакомые пользователю сценарии входа.
Схема DEBULL строится вокруг рабочих приманок. В пересказах отчёта ZeroBEC говорится, что письма имитировали совместную работу и подталкивали пользователя к «подключению» или «проверке» через Microsoft. После этого жертва переходила к настоящей странице входа Microsoft и вводила короткий код.
Похожие кампании уже вышли на массовый рынок. В марте 2026 года Cloud Security Alliance описывала атаки через OAuth Device Code Flow против более чем 340 организаций Microsoft 365 в США, Канаде, Австралии, Новой Зеландии и Германии. Там же отмечалось, что EvilTokens превратил эту технику в коммерческую модель: готовые страницы, шаблоны писем, управление токенами, антианализ и автоматизация атак на бизнес-переписку.
FBI в мае выпустило предупреждение о Kali365 — другой платформе фишинга как услуги для Microsoft 365. Агентство описывало тот же базовый принцип: злоумышленник отправляет письмо с кодом устройства и инструкцией открыть легитимную страницу Microsoft, а после ввода кода получает токены доступа. В предупреждении отдельно упоминались ИИ-сгенерированные приманки, шаблоны кампаний, панели отслеживания и захват OAuth-токенов.
Новая волна отличается зрелостью инструментов после компрометации. Cisco Talos недавно разобрала ARToken — панель, связанную с EvilTokens. Она содержит более 80 API-эндпоинтов для фишинга через код устройства, закрепления через Primary Refresh Token, доступа к почте, операций BEC и выгрузки данных из SharePoint. Исследователи Talos описывают такие панели уже как полноценную среду для атак на деловую переписку.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.