Инструмент DEBULL использует уязвимости Microsoft Device-Code для атак на аккаунты M365
В последнюю неделю июня 2026 года и в начале июля была зафиксирована фишинговая кампания, нацеленная на аккаунты Microsoft 365, которая использовала темы, связанные с совместной работой. Об этом сообщила компания ZeroBEC. В отличие от традиционных схем, данная кампания не полагалась на поддельную страницу входа от Microsoft. Вместо этого злоумышленники применяли мошеннические приемы, связанные с совместной работой, чтобы заставить пользователей пройти через легитимный процесс входа в систему Microsoft с использованием кода устройства.
Согласно отчету, атаки были направлены на пользователей, которые могли быть вовлечены в совместные проекты или рабочие группы, что делало их более восприимчивыми к манипуляциям. Злоумышленники использовали различные социальные инженерные методы, чтобы убедить жертв в необходимости выполнить вход через предоставленный им код устройства, что позволяло им захватывать учетные записи.
Эта стратегия показывает, как киберпреступники адаптируют свои методы к текущим трендам и потребностям пользователей. Вместо того чтобы создавать фальшивые страницы, они используют легитимные процессы, чтобы обойти меры безопасности и доверие пользователей. Это подчеркивает необходимость повышения осведомленности о таких угрозах и обучения сотрудников безопасности.
Эксперты по кибербезопасности советуют организациям внедрять многофакторную аутентификацию и другие меры защиты, чтобы уменьшить риски, связанные с такими атаками. Также важно проводить регулярные тренинги для сотрудников по распознаванию фишинга и другим методам защиты личной информации.
Кампания DEBULL является ярким примером того, как злоумышленники могут использовать легитимные инструменты и процессы для достижения своих целей. Пользователям рекомендуется быть особенно внимательными к запросам на ввод кода устройства и проверять подлинность таких запросов, прежде чем предпринимать какие-либо действия.