Фишинг OAuth обходит MFA Microsoft 365 через Tycoon 2FA

В апреле 2026 года исследователи зафиксировали новую фишинговую кампанию, в которой злоумышленники использовали OAuth Device Authorization Grant для компрометации учетных записей Microsoft 365. В основе атаки лежала эволюционировавшая версия набора инструментов Tycoon 2FA, а сама схема стала очередным подтверждением того, что модели Phishing-as-a-Service (PhaaS) продолжают активно развиваться и адаптироваться к современным механизмам защиты.

Как работала схема

В отличие от традиционного фишинга, где злоумышленники пытаются выманить пароль или код MFA, эта кампания эксплуатировала легитимные механизмы входа Microsoft. Атака строилась вокруг приманок, содержащих URL-адреса отслеживания кликов Trustifi. После перехода по таким ссылкам жертва проходила последовательность законных шагов авторизации Microsoft и, сама того не осознавая, предоставляла токены OAuth устройствам, контролируемым злоумышленниками.

Таким образом, кампания обходила традиционные проверки аутентификации не за счет их прямого взлома, а через злоупотребление штатным механизмом выдачи токенов.

Что изменилось в Tycoon 2FA

Операторы Tycoon 2FA сохранили основной набор инструментов PhaaS, но адаптировали его под фишинг с использованием OAuth device-code, не меняя ключевые элементы фреймворка. В исходном коде по-прежнему прослеживаются характерные технические признаки:

• архитектура Check Domain;
• зашифрованный слой AES-CBC с жестко закодированным ключом;
• HTML-обертка с использованием Base64 XOR.

При этом новая версия сместила акцент: вместо кражи учетных данных злоумышленники стали защищать метаданные сеанса. Пароль у жертвы не запрашивался — пользователь просто направлялся через цепочку легитимных экранов авторизации Microsoft.

Инфраструктура и антианализ

По данным анализа, операторы кампании преимущественно действовали из адресного пространства Alibaba Cloud (AS45102). Для повышения живучести и затруднения обнаружения они расширили блэк-лист фильтрации на основе ASN, включив туда различных поставщиков безопасности и облачных провайдеров.

Также была адаптирована инфраструктура доставки: злоумышленники применяли уникальный шаблон URL, легкую обфускацию и четырехуровневую цепочку доставки в браузере. Дополнительно фреймворк использовал:

• антиотладочные механизмы;
• фильтрацию строк User-Agent;
• проверки против известных инструментов и сервисов;
• редирект нежелательных посетителей на безвредные страницы.

Чем опасен такой подход

Если жертва соглашалась на выдачу доступа, злоумышленники получали токены не к отдельному сервису, а ко всей экосистеме Microsoft 365. Это означает, что последствия могли затронуть почту, файлы, корпоративные чаты и другие связанные сервисы.

Эксплуатация OAuth 2.0 Device Authorization Grant демонстрирует новый способ обхода MFA без его прямого взлома. По сути, злоумышленники убеждают пользователя предоставить согласие на выдачу токена устройству под их контролем, маскируя это под обычную процедуру входа.

Имперсонация легитимных сервисов

Отдельное внимание исследователи обращают на то, что в подобных кампаниях злоумышленники используют легитимные OAuth-клиенты в качестве прикрытия. В данном случае была отмечена имперсонация Microsoft Authentication Broker, который выглядел как стандартное приложение Microsoft, собирающее телеметрию.

Главный риск таких атак заключается в том, что они используют доверие к штатным компонентам Microsoft и переносят фишинг из зоны подозрительных страниц в пространство привычного для пользователя процесса авторизации.

Именно поэтому данная кампания стала заметным сигналом для специалистов по кибербезопасности: фишинг все чаще опирается не на поддельные формы входа, а на злоупотребление легитимными протоколами и доверенными сервисами.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.