Исследователи снова обратили внимание на атаки с использованием Evilginx — фреймворка для фишинга класса AiTM, схемы «злоумышленник посередине». В таких атаках жертва видит привычную страницу входа Microsoft, проходит многофакторную аутентификацию и не замечает, что между браузером и настоящим сервисом стоит прокси-сервер атакующих.
Главная цель в этой схеме — не сам пароль. Злоумышленникам нужен сессионный cookie или токен, который подтверждает, что пользователь уже вошел в аккаунт. После перехвата такой сессии атакующий может открыть Microsoft 365 в своем браузере и получить доступ без повторного запроса MFA. Для сервиса это выглядит как продолжение уже подтвержденного входа. Так AiTM-фишинг проксирует настоящий процесс авторизации.
В открытом репозитории проекта Evilginx описан как фреймворк для атак man-in-the-middle, предназначенный для перехвата учетных данных и сессионных cookie, что позволяет обходить двухфакторную аутентификацию. Изначально такие инструменты применялись в легитимных тестах на проникновение, но та же механика давно используется в реальных фишинговых кампаниях.
Microsoft тоже фиксирует рост подобных атак. Весной 2026 года команда Microsoft Defender Research разобрала многоступенчатую кампанию, где приманкой стали письма о якобы внутреннем разбирательстве по кодексу поведения. Письма выглядели как корпоративные уведомления, содержали PDF-вложения и вели пользователей через CAPTCHA, промежуточные страницы и финальный вход через Microsoft. За три дня, с 14 по 16 апреля 2026 года, кампания затронула более 35 тыс. пользователей из более чем 13 тыс. организаций в 26 странах. Большая часть целей находилась в США.
Техника была рассчитана на эмоции и привычные корпоративные сценарии. Получателю сообщали о «проверке», предлагали открыть персональный файл и пройти авторизацию. PDF выглядел как документ внутреннего процесса. CAPTCHA добавляла ощущение защищенного доступа и одновременно мешала автоматическому анализу в песочницах.
Финальный этап запускал AiTM-цепочку. Пользователь думал, что входит в Microsoft для просмотра материалов, а атакующие получали токены, пригодные для немедленного доступа к учетной записи.
Похожую механику Microsoft описывала и в атаках через SharePoint и OneDrive. Там злоумышленники использовали доверие к корпоративным облачным сервисам: ссылка приходила из уже скомпрометированной организации или напоминала обычный документ для совместной работы. После захвата почтового ящика атакующие создавали правила входящих писем, помечали письма как прочитанные, удаляли уведомления и рассылали новые фишинговые сообщения контактам жертвы. В одном из эпизодов фигурировало более 600 писем, отправленных из скомпрометированного аккаунта.
Защита от таких атак строится вокруг нескольких уровней. Первый — фишинг-устойчивая аутентификация: FIDO2-ключи, passkeys и Windows Hello for Business. В таких схемах криптографическая проверка привязана к домену. Если пользователь попадает на чужой домен, секрет не должен сработать как «универсальный код», который можно переслать дальше.
Второй уровень — защита токенов. Microsoft развивает Token Protection в Entra Conditional Access: механизм должен снижать риск повторного использования украденных токенов за счёт привязки сессии к устройству, на котором она была выдана. Идея простая: украденный токен становится менее полезным, если его нельзя безболезненно перенести на машину атакующего.
Третий уровень — мониторинг. Командам безопасности стоит смотреть не только на факт успешного входа, но и на признаки несостыковки: новый IP-адрес сразу после авторизации, «невозможное перемещение», вход с непривычного устройства, необычные свойства сессионных cookie, создание новых правил в почтовом ящике, массовая рассылка из аккаунта, попытки изменить MFA-настройки.
Отдельный красный флаг — новые правила почты, которые удаляют входящие письма, прячут ответы или помечают сообщения как прочитанные. Такие правила часто используют в BEC-атаках, где злоумышленник пытается оставаться в переписке незаметным и управлять коммуникацией от имени жертвы.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
