Microsoft 365 cihaz kodu kimlik avı kampanyası, Haziran 2026'nın son haftasından Temmuz başına kadar iş birliği temalı tuzaklar kullanarak kurban hesaplarını ele geçirdi. ZeroBEC'in raporuna göre, saldırı sahte bir Microsoft şifre sayfası kullanmıyor; bunun yerine kullanıcıları meşru Microsoft cihaz giriş deneyimine yönlendiren kötü niyetli bir iş birliği tuzağı kullanıyor. Arka uçta bir aracı, Microsoft Authentication Broker cihaz kodu belirteçleri oluşturup yokluyor.
Cihaz kodu kimlik avı, saldırganların meşru OAuth 2.0 cihaz yetkilendirme akışını kullanarak çok faktörlü kimlik doğrulamayı (MFA) atlamasına ve kalıcı hesap erişimi elde etmesine olanak tanır. Bu teknik, geleneksel kimlik avından farklı olarak, kullanıcıyı gerçek ve güvenilir bir kimlik doğrulama istemini tamamlamaya yönlendirir. Saldırgan, kodu kendisi başlatır ve kurbanla paylaşır; kurban kodu girdiğinde, farkında olmadan saldırganın oturumunu yetkilendirir.
ZeroBEC, kampanyanın ödeme ve paylaşılan klasör bahaneleri kullanarak kurbanları meşru ancak ele geçirilmiş bir Hırvat kiralama web sitesine yönlendirdiğini tespit etti. Bu site, Microsoft cihaz kodu zincirini başlatan bir düzenleyici görevi görüyor. Analizler, DEBULL'un GraphSpy veya türevi bir iş akışı kullanan bir kimlik avı hizmeti (PhaaS) platformu olduğunu gösteriyor. Platform, operatörlerin sayfa adı, HTML, CSS ve JavaScript'i düzenlemesine olanak tanıyor.
Cisco Talos, EvilTokens platformuyla altyapı ve API sözleşmelerini paylaşan ARToken adlı bir PhaaS paneli keşfetti. ARToken, cihaz kodu kimlik avı, PRT kalıcılığı, e-posta erişimi, BEC işlemleri ve SharePoint sızdırma için 80'den fazla API uç noktası sunuyor. DEBULL ve EvilTokens gibi araçlar, saldırganların toplanan belirteçleri kullanarak e-postaları, dosyaları ve diğer hassas verileri sızdırmasına olanak tanıyor.