Фишинг Device Code через EvilTokens и Railway.com

Huntress обнаружила масштабную campaign of device code phishing с использованием EvilTokens и Railway.com

Компания Huntress выявила активную device code phishing-campaign, которую связывают с платформой EvilTokens — Phishing as a Service (PhaaS)-сервисом, начавшим использовать Railway.com в качестве атакующей инфраструктуры. По данным исследователей, злоупотребление этой платформой последовало после публичного упоминания EvilTokens в Telegram в феврале 2026 года и привело к многочисленным компрометациям Microsoft 365-идентификаторов в более чем 340 организациях.

Под ударом оказались компании из разных отраслей, включая law firms, construction и healthcare. Основной инструмент злоумышленников — device code phishing, основанный на легитимном потоке авторизации Microsoft OAuth, который изначально предназначен для устройств с ограниченными возможностями ввода.

Как работает схема

Суть атаки заключается в том, что жертв убеждают ввести сгенерированные коды устройств на поддельных целевых страницах. После этого злоумышленники получают немедленный доступ к OAuth tokens без необходимости знать пароль или проходить Multi-Factor Authentication.

Особую опасность представляет то, что такая схема позволяет злоумышленникам создавать persistent access tokens, которые остаются действительными даже после сброса пароля. Иными словами, даже успешная смена пароля не всегда разрывает уже установленный доступ.

Почему Railway.com оказался удобен для атакующих

Railway.com — удобная для разработчиков platform, которая позволяет быстро разворачивать ephemeral infrastructure для фишинга. Для злоумышленников это особенно ценно, поскольку такие ресурсы не попадают под типичные риск-оценки со стороны легитимных поставщиков услуг, а используемые IP-адреса выглядят чистыми и доверенными.

По оценке Huntress, именно это делает Railway.com привлекательным инструментом для масштабирования фишинговых операций: инфраструктура появляется быстро, может оперативно меняться и при этом выглядит менее подозрительной для систем защиты.

Приманки и методы обхода фильтров

В кампании использовались разнообразные social engineering-приманки. Среди них — темы, связанные с request for proposals в строительной сфере, а также имитация служб Microsoft.

Исследователи предполагают, что злоумышленники применяют automation или Artificial Intelligence, чтобы динамически адаптировать текст приманок и повышать шансы на обход систем фильтрации электронной почты.

Дополнительным фактором риска стало использование внешних доверенных сервисов, включая URL rewrite-сервисы от поставщиков email security. В результате фишинговые письма нередко выглядят легитимными не только для получателей, но и для защитных систем.

«Злоупотребление легитимными cloud platform значительно снижает порог для развертывания phishing infrastructure и позволяет действовать в беспрецедентных масштабах».

Масштаб кампании и география атак

Наблюдаемые данные указывают на то, что атаки идут с Railway-infrastructure и в первую очередь нацелены на:

• USA;
• некоторые регионы Europe;
• Asia-Pacific region.

При этом ряд признаков позволяет предположить, что речь идет не об одном злоумышленнике, а о нескольких группах, использующих общий технологический сервер или совместно имеющих к нему доступ.

Меры защиты

Компания Huntress уже внедрила защитные меры, включая:

• блокировку входов в систему с Railway-infrastructure;
• использование Conditional Access Policies для предотвращения дальнейших попыток эксплуатации.

Что это означает для организаций

Эта кампания демонстрирует тревожную тенденцию: преступные группы становятся все более оперативно зрелыми и эффективно используют легитимные облачные сервисы для фишинга. В результате снижается барьер для запуска атак, а масштаб и скорость их развертывания растут.

Для организаций это означает необходимость усиливать контроль над Microsoft 365-доступом, внимательнее анализировать подозрительные login flows и пересматривать защиту от device code phishing. В условиях эволюции киберугроз бдительность и корректно настроенные security controls становятся критически важными.