Хакеры похищают логины Microsoft c использованием легитимных перенаправлений ADFS

Хакеры используют новый метод, сочетающий легитимные ссылки office.com со службами Active Directory (ADFS) для перенаправления пользователей на фишинговую страницу, которая похищает учётные данные Microsoft 365.

Этот метод позволяет обходить традиционную систему обнаружения на основе URL-адресов и многофакторную аутентификацию, используя доверенный домен в инфраструктуре Microsoft для первоначального перенаправления.

Исследователи компании Push Security проанализировали недавнюю кампанию, нацеленную на нескольких клиентов и перенаправлявшую сотрудников с легитимной ссылки outlook.office.com на фишинговый сайт. Хотя эта страница не имела каких-либо особых элементов, препятствующих её обнаружению, метод доставки использовал доверенную инфраструктуру для обхода активации агентов безопасности.

Push Security установила, что фишинговая атака началась с того, что жертва нажала на вредоносную рекламную ссылку в результатах поиска Google по запросу Office 265.

Пользователь перенаправлялся в Microsoft Office, а затем на другой домен, bluegraintours[.]com, который, в свою очередь, уводил его на фишинговую страницу, предназначенную для сбора учётных данных. На первый взгляд, переход на вредоносную страницу производился путём перенаправления с домена Microsoft office.com без использования фишингового письма.

При расследовании инцидентов исследователи Push Security обнаружили, что «злоумышленник создал пользовательский клиент Microsoft с настроенными службами ADFS».

ADFS — это решение Microsoft для единого входа (SSO), которое позволяет пользователям получать доступ к нескольким приложениям как внутри, так и за пределами корпоративной сети, используя единый набор учётных данных.

Хотя служба по-прежнему доступна в Windows Server 2025 и