Хакеры похищают логины Microsoft c использованием легитимных перенаправлений ADFS
habr.comХакеры используют новый метод, сочетающий легитимные ссылки office.com со службами Active Directory (ADFS) для перенаправления пользователей на фишинговую страницу, которая похищает учётные данные Microsoft 365.Этот метод позволяет обходить традиционную систему обнаружения на основе URL-адресов и многофакторную аутентификацию, используя доверенный домен в инфраструктуре Microsoft для первоначального перенаправления.Исследователи компании Push Security проанализировали недавнюю кампанию, нацеленную на нескольких клиентов и перенаправлявшую сотрудников с легитимной ссылки outlook.office.com на фишинговый сайт.
Хотя эта страница не имела каких-либо особых элементов, препятствующих её обнаружению, метод доставки использовал доверенную инфраструктуру для обхода активации агентов безопасности.Push Security установила, что фишинговая атака началась с того, что жертва нажала на вредоносную рекламную ссылку в результатах поиска Google по запросу Office 265.Пользователь перенаправлялся в Microsoft Office, а затем на другой домен, bluegraintours[.]com, который, в свою очередь, уводил его на фишинговую страницу, предназначенную для сбора учётных данных.
