Microsoft зафиксировала фишинговую кампанию на 35 000 пользователей в 26 странах с использованием AiTM

В период с 14 по 16 апреля 2026 года наблюдалась многоэтапная фишинговая кампания, нацеленная на кражу учётных данных с использованием приманок на тему кодекса корпоративного поведения и легитимных email-сервисов, которые перенаправляли пользователей на домены злоумышленников для хищения токенов аутентификации, сообщает The Hacker News со ссылкой на Microsoft.

В письмах утверждалось, что инициирована «проверка соблюдения кодекса поведения», упоминались названия конкретных организаций, а получателям предлагалось «открыть персонализированное вложение», чтобы ознакомиться с материалами проверки. В верхней части каждого сообщения содержалось уведомление об отправке через авторизованный внутренний канал, а ссылки и вложения назывались проверенными и одобренными. Имена отправителя включали «Internal Regulatory COC», «Workforce Communications» и «Team Conduct Report», темы писем — «Журнал внутреннего дела, заведенный по политике поведения» и «Напоминание: работодатель открыл журнал дела о несоблюдении требований».

Как сообщили в Microsoft, в верхней части каждого письма указывалось, что оно отправлено через авторизованный внутренний канал, а ссылки и вложения проверены и одобрены. Письма рассылались с легитимного сервиса доставки email и сопровождались PDF-вложением, которое побуждало жертв перейти по ссылке внутри документа.

Цепочка атак проводила жертв через несколько раундов CAPTCHA и промежуточных страниц, завершаясь страницей входа, использующей тактику фишинга «злоумышленник посередине» (AiTM) для кражи учётных данных Microsoft и токенов в реальном времени, что позволяет обходить многофакторную аутентификацию (MFA). Конечный пункт назначения зависел от того, был ли вредоносный поток запущен с мобильного устройства или десктопной системы.

Продолжение ниже

Помимо этого, в анализе Microsoft ландшафта email-угроз за январь–март 2026 года отмечается, что фишинг с использованием QR-кодов стал самым быстрорастущим вектором атак. Всего было обнаружено около 8,3 млрд email-фишинговых угроз, из которых почти 80% были основаны на ссылках. Конечной целью большинства атак являлась кража учётных данных, тогда как доставка вредоносного ПО сократилась до 5–6% к концу квартала.

Как сообщили в компании, операторы платформы Phishing-as-a-service (PhaaS) Tycoon 2FA после координированной операции по нарушению их работы в марте 2026 года начали уходить от Cloudflare и размещать большинство доменов на альтернативных платформах.

Metascan запускает свою первую конференцию «Периметр»

Поставщики и продукты

Данные Microsoft показывают рост фишинга с QR-кодами с 7,6 млн в январе до 18,7 млн в марте (рост на 146%). Схемы с компрометацией корпоративные электронной почты (BEC) превысили 4 млн атак в марте 2026 года, всего зафиксировано 10,7 млн атак BEC.

Среди наблюдавшихся в первом квартале 2026 года кампаний — крупная рассылка с 23 по 25 февраля 2026 года (более 1,2 млн сообщений пользователям из более чем 53 000 организаций в 23 странах) с приманками на тему 401(k), платежей и счетов для доставки SVG-вложения, а также массовая кампания 17 марта 2026 года (более 1,5 млн подтверждённых вредоносных сообщений в более чем 179 000 организаций в 43 странах), составившая 7% от всех вредоносных HTML-вложений за месяц.

Как указывается в сообщении Microsoft, хотя сообщения в мартовской кампании имели общие инструменты и структуру, инфраструктура была связана с несколькими провайдерами PhaaS: большинство конечных точек — с Tycoon 2FA, дополнительная активность — с Kratos (ранее Sneaky 2FA) и EvilTokens.

В дополнение к этому, как сообщили в Kaspersky, отмечается появление фишинговых и BEC-кампаний, злоупотребляющих Amazon Simple Email Service (SES) для обхода проверок SPF, DKIM и DMARC через скомпрометированные ключи доступа AWS.