ZeroBEC tarafından yapılan bir araştırma, Haziran 2026'nın son haftasından Temmuz başına kadar süren bir Microsoft 365 cihaz kodu kimlik avı kampanyasını ortaya çıkardı. Kampanya, sahte bir şifre sayfası kullanmak yerine, kurbanları meşru Microsoft cihaz giriş deneyimine yönlendiren iş birliği temalı tuzaklar kullanıyor. Arka planda bir aracı, Microsoft Kimlik Doğrulama Aracısı cihaz kodu token'ları oluşturup yokluyor. Bu yöntem, Storm-2372 olarak bilinen ve Şubat 2025'te Microsoft tarafından belgelenen bir kampanyayla güçlü benzerlikler taşıyor. Storm-2372, mesajlaşma veya Teams tarzı tuzaklarla kurbanları, saldırganın sağladığı cihaz kodunu girmeye ikna ediyordu. DEBULL ise bu taktikleri yeniden kullanılabilir bir araç katmanı olarak sunuyor.
Cihaz kodu kimlik avı, saldırganların meşru OAuth 2.0 Cihaz Yetkilendirme Akışı'nı kötüye kullanarak çok faktörlü kimlik doğrulamayı (MFA) atlattığı ve kalıcı hesap erişimi elde ettiği bir kimlik hırsızlığı tekniğidir. Geleneksel kimlik avında saldırganlar sahte giriş sayfaları kurarken, bu yöntemde kullanıcılar gerçek ve güvenilir bir kimlik doğrulama istemini tamamlamaya yönlendirilir. Microsoft'a göre cihaz kodu kimlik doğrulaması, akıllı TV veya yazıcı gibi sınırlı arayüze sahip cihazlar için tasarlanmış meşru bir OAuth akışıdır. Kullanıcıya cihazda kısa bir kod gösterilir ve bu kodu başka bir cihazda tarayıcıya girmesi istenir. Saldırganlar bu ayırımı kullanarak kimlik doğrulama akışını başlatır, kodu hedefle paylaşır ve kullanıcı kodu girdiğinde farkında olmadan saldırganın oturumunu yetkilendirir.
ZeroBEC'in gözlemlediği kampanyada, ödeme ve paylaşılan klasör bahaneleriyle hazırlanan kimlik avı e-postaları, kurbanları bir URL'ye tıklamaya yönlendiriyor. Bu URL, meşru ancak ele geçirilmiş bir Hırvat kiralama web sitesine gidiyor ve bu site, Microsoft cihaz kodu zincirini başlatan bir düzenleyici görevi görüyor. Süreçte Türkçe geliştirici işaretleri bulunmasına rağmen, kampanyanın kaynağını kesin olarak belirlemek mümkün değil. Altyapı analizi, DEBULL'un büyük olasılıkla bir hizmet olarak kimlik avı (PhaaS) platformu olduğunu ve Microsoft 365 ile Entra sömürü sonrası için GraphSpy veya türevi bir iş akışı kullandığını gösteriyor. Operatörler sayfa adı, HTML, CSS ve JavaScript'i doğrudan düzenleyebiliyor ve tuzağın nasıl yayınlanacağını seçebiliyor. Gömmeye hazır şablonlar arasında Microsoft 365 cihaz kodu doğrulama sayfası, OAuth geri arama sayfası ve modern bir açılış sayfası bulunuyor.
Teknik Analiz
Cisco Talos, EvilTokens cihaz kodu kimlik avı platformuyla altyapı, API ve operasyonel kalıpları paylaşan ARToken adlı tam donanımlı bir PhaaS operatör paneli tespit etti. ARToken paneli, cihaz kodu kimlik avı, Birincil Yenileme Token'ı (PRT) kalıcılığı, e-posta erişimi, iş e-postası ele geçirme (BEC) ve SharePoint sızdırma için 80'den fazla API uç noktası sunuyor. Bu gelişmeler, Storm-2372 tarzı kimlik taktiklerinin yeniden kullanılabilir bir aracı altyapısına paketlendiğini gösteriyor. DEBULL kampanya ve operatör katmanını sağlarken, GraphSpy veya türevi kod sömürü sonrası katmanı yönetiyor. Tuzak, arka uç kimlik yığını değiştirilmeden değiştirilebiliyor. Başarılı cihaz kodu kimlik avı saldırıları, tam hesap ele geçirme, değerli bilgilerin çalınması, dolandırıcılık, BEC ve fidye yazılımı gibi yıkıcı saldırılara yol açabiliyor.