OLUOMO: AiTM-фишинг крадет учетные данные Microsoft

OLUOMO: новая AiTM-фишинговая кампания использует доверенные сервисы для кражи учетных данных Microsoft

С конца ноября 2025 года исследователи наблюдают кампанию фишинга OLUOMO, в которой злоумышленники применяют сложную технику Adversary-in-the-Middle (AiTM) для перехвата учетных данных Microsoft и токенов сеанса в реальном времени. Операция построена как многоэтапная цепочка, где каждый элемент опирается на легитимную инфраструктуру, чтобы повысить доверие жертвы и усложнить обнаружение атаки.

Двухэтапная схема атаки

Кампания состоит из двух основных стадий. На первом этапе жертве показывают фишинговую приманку, размещенную на скомпрометированных легитимных веб-сайтах. На втором этапе трафик направляется через AiTM-прокси, развернутый на Azure Web Apps, который перехватывает потоки Microsoft OAuth и позволяет злоумышленникам получать данные учетной записи практически в момент ввода.

Такой подход демонстрирует, как атакующие выстраивают цепочку доверия, используя инфраструктуру, которая сама по себе выглядит безопасной и привычной для пользователя.

Приманка с высоким эмоциональным откликом

Особое внимание в кампании привлекает сама фишинговая приманка: на ней заметно размещено U.S. Petition for Naturalization. По оценке исследователей, этот документ, вероятно, выбран не случайно — он может вызывать эмоциональный и культурный отклик у аудитории, связанной с процессом иммиграции в США.

Именно такой контекст повышает вероятность того, что пользователь откроет страницу и начнет взаимодействие с ней, не заподозрив подвоха.

Географически распределенная инфраструктура

Инфраструктура кампании выглядит распределенной по разным странам, но при этом сохраняет единый операционный контроль. Скомпрометированные домены зафиксированы, в частности, в следующих странах:

• Chile
• Australia
• Belarus
• New Zealand

На первом этапе сайты перенаправляют пользователей на вредоносный прокси в Azure, который имитирует легитимную страницу входа Microsoft. Для этого используется домен-двойник orgid.com, созданный для визуального и функционального сходства с portal.microsoftonline.com.

Как работает кража данных

После перехода на фишинговую страницу жертве предлагается ввести адрес электронной почты. Эти данные сразу захватываются и передаются на вредоносную конечную точку. Далее прокси второго этапа активирует service worker, который управляет процессом кражи учетных данных и вмешивается в реальный поток входа Microsoft OAuth.

Дополнительно внедряется скрипт, уведомляющий атакующего о том, что страница входа уже отрисована. Это позволяет систематически собирать учетные данные и повышает надежность атаки.

Почему эта кампания опасна

Мониторинг показал, что OLUOMO — это масштабная и технически зрелая операция, в которой объединены разные доверенные сущности. Важнейший вывод исследователей заключается в том, что злоумышленники искусно выстроили механизм, заставляющий жертву последовательно взаимодействовать с легитимными сервисами, скрывающими вредоносную активность.

Как отмечается в отчете, атакующие не эксплуатируют уязвимости в отдельных платформах, таких как Imgur, Azure или Microsoft. Вместо этого они собирают фишинговую цепочку из доверенных сервисов, используя саму экосистему легитимных провайдеров как часть атаки.

В конечном итоге кампания OLUOMO демонстрирует эволюционирующий ландшафт угроз, где злоумышленники эффективно используют легитимные сервисы для выполнения сложных фишинговых операций, которые бросают вызов традиционным методам обнаружения.

Неясная цель таргетинга

Без доступа к телеметрии фишинговых писем, использованных для первоначальной доставки, остается неясным, была ли кампания нацелена на специалистов в сфере иммиграции или на более широкую аудиторию. При этом исследователи считают, что именно письмо, вероятно, играет ключевую роль в механизме таргетинга.

Что важно знать специалистам по безопасности

Поведенческий анализ этой техники подчеркивает необходимость усиливать защиту не только против классического фишинга, но и против атак, основанных на сложной зависимости от экосистемы легитимных сервисов.

• проверять нетипичные цепочки перенаправления и домены-двойники;
• контролировать подозрительную активность OAuth-входов;
• отслеживать использование скомпрометированных легитимных сайтов в качестве первичного канала доставки;
• усиливать поведенческое обнаружение AiTM-сценариев;
• обучать пользователей распознаванию приманок с высоким контекстным и эмоциональным воздействием.

Кампания OLUOMO показывает, что современные фишинговые операции все чаще маскируются под нормальную работу привычных сервисов. Именно это делает подобные атаки особенно опасными: они размывают границу между легитимной инфраструктурой и компрометированной средой, затрудняя и реакцию пользователей, и работу систем защиты.