Các nhà nghiên cứu an ninh mạng đang cảnh báo về một chiến dịch lừa đảo device code phishing đang hoạt động, nhắm mục tiêu vào danh tính Microsoft 365 của hơn 340 tổ chức tại Mỹ, Canada, Úc, New Zealand và Đức.
Hoạt động này, theo Huntress, lần đầu tiên được phát hiện vào ngày 19 tháng 2 năm 2026, với các trường hợp tiếp theo xuất hiện với tốc độ nhanh chóng kể từ đó. Đáng chú ý, chiến dịch này sử dụng các chuyển hướng Cloudflare Workers với các phiên bị chiếm đoạt được chuyển hướng đến cơ sở hạ tầng được lưu trữ trên một dịch vụ platform-as-a-service (PaaS) có tên Railway, biến nó thành một công cụ thu thập thông tin xác thực.
Xây dựng, các tổ chức phi lợi nhuận, bất động sản, sản xuất, dịch vụ tài chính, chăm sóc sức khỏe, pháp lý và chính phủ là một số lĩnh vực nổi bật bị nhắm mục tiêu trong chiến dịch này.
"Điều làm cho chiến dịch này trở nên bất thường không chỉ là các kỹ thuật device code phishing liên quan, mà còn là sự đa dạng của các kỹ thuật được quan sát," công ty cho biết. "Các mồi nhử đấu thầu xây dựng, tạo mã trang đích, mạo danh DocuSign, thông báo thư thoại và lạm dụng các trang Microsoft Forms đều nhắm vào cùng một nhóm nạn nhân thông qua cùng một cơ sở hạ tầng IP của Railway.com."
Device code phishing đề cập đến một kỹ thuật khai thác OAuth device authorization flow để cấp cho kẻ tấn công các access token liên tục, sau đó có thể được sử dụng để chiếm quyền kiểm soát tài khoản của nạn nhân. Điều quan trọng về phương pháp tấn công này là các token vẫn hợp lệ ngay cả sau khi mật khẩu tài khoản được đặt lại.
Cách thức tấn công Device Code Phishing hoạt động
Ở cấp độ cao, cuộc tấn công hoạt động như sau:
- Tác nhân đe dọa yêu cầu một device code từ nhà cung cấp danh tính (ví dụ: Microsoft Entra ID) thông qua API device code hợp pháp.
- Dịch vụ phản hồi bằng một device code.
- Tác nhân đe dọa tạo một email thuyết phục và gửi cho nạn nhân, thúc giục họ truy cập trang đăng nhập ("microsoft[.]com/devicelogin") và nhập device code.
- Sau khi nạn nhân nhập mã được cung cấp, cùng với thông tin xác thực và mã xác thực hai yếu tố (2FA), dịch vụ sẽ tạo một access token và refresh token cho người dùng.
"Khi người dùng đã trở thành nạn nhân của cuộc lừa đảo, quá trình xác thực của họ sẽ tạo ra một bộ token hiện nằm tại điểm cuối API token OAuth và có thể được truy xuất bằng cách cung cấp device code chính xác," Huntress giải thích. "Tất nhiên, kẻ tấn công biết device code vì nó được tạo ra bởi yêu cầu cURL ban đầu tới API đăng nhập device code."
"Và mặc dù mã đó vô dụng nếu đứng riêng lẻ, nhưng một khi nạn nhân đã bị lừa xác thực, các token thu được giờ đây thuộc về bất kỳ ai biết device code nào đã được sử dụng trong yêu cầu ban đầu."
Việc sử dụng device code phishing lần đầu tiên được Microsoft và Volexity quan sát vào tháng 2 năm 2025, với các đợt tấn công tiếp theo được Amazon Threat Intelligence và Proofpoint ghi nhận. Nhiều nhóm có liên kết với Nga được theo dõi như Storm-2372, APT29, UTA0304, UTA0307 và UNK_AcademicFlare, đã được xác định là thủ phạm của các cuộc tấn công này.
Kỹ thuật này rất nguy hiểm, không chỉ vì nó tận dụng cơ sở hạ tầng hợp pháp của Microsoft để thực hiện luồng xác thực device code, do đó người dùng không có lý do gì để nghi ngờ bất cứ điều gì có thể sai.
Cơ sở hạ tầng và kỹ thuật lừa đảo
Trong chiến dịch được Huntress phát hiện, việc lạm dụng xác thực bắt nguồn từ một cụm nhỏ các địa chỉ IP của Railway.com, với ba trong số đó chiếm khoảng 84% các sự kiện được quan sát –
- 162.220.234[.]41
- 162.220.234[.]66
- 162.220.232[.]57
- 162.220.232[.]99
- 162.220.232[.]235
Điểm khởi đầu của cuộc tấn công là một email phishing gói các URL độc hại trong các dịch vụ chuyển hướng của nhà cung cấp bảo mật hợp pháp từ Cisco, Trend Micro và Mimecast để vượt qua các bộ lọc thư rác và kích hoạt một chuỗi chuyển hướng đa bước bao gồm sự kết hợp của các trang web bị xâm phạm, Cloudflare Workers và Vercel làm trung gian trước khi đưa nạn nhân đến đích cuối cùng.
"Các trang đích được quan sát nhắc nhở nạn nhân tiến hành đến điểm cuối xác thực device code hợp pháp của Microsoft và nhập một mã được cung cấp để đọc một số tệp," Huntress cho biết. "Mã này được hiển thị trực tiếp trên trang khi nạn nhân truy cập."
"Đây là một sự lặp lại thú vị của chiến thuật, vì thông thường, kẻ tấn công phải tạo ra và sau đó cung cấp mã cho nạn nhân. Bằng cách hiển thị mã trực tiếp trên trang, có thể bằng một số tự động hóa tạo mã, nạn nhân ngay lập tức được cung cấp mã và lý do cho cuộc tấn công."
Trang đích cũng có một nút "Continue to Microsoft" (Tiếp tục đến Microsoft) mà khi nhấp vào, sẽ hiển thị một cửa sổ pop-up hiển thị điểm cuối xác thực hợp pháp của Microsoft ("microsoft[.]com/devicelogin").
Hầu hết mọi trang web device code phishing đều được lưu trữ trên một phiên bản Cloudflare workers[.]dev, minh họa cách các tác nhân đe dọa đang vũ khí hóa sự tin cậy liên quan đến dịch vụ trong môi trường doanh nghiệp để vượt qua các bộ lọc nội dung web. Để chống lại mối đe dọa này, người dùng được khuyến nghị quét các nhật ký đăng nhập để tìm các lần đăng nhập IP của Railway, thu hồi tất cả các refresh token cho người dùng bị ảnh hưởng và chặn các nỗ lực xác thực từ cơ sở hạ tầng Railway nếu có thể.
EvilTokens PhaaS và các chiến dịch liên quan
Huntress kể từ đó đã quy kết cuộc tấn công Railway cho một nền tảng phishing-as-a-service (PhaaS) mới có tên EvilTokens, ra mắt vào tháng trước trên Telegram. Ngoài việc quảng cáo các công cụ gửi email phishing và vượt qua bộ lọc thư rác, bảng điều khiển EvilTokens còn cung cấp cho khách hàng các liên kết chuyển hướng mở đến các miền dễ bị tổn thương để che giấu các liên kết phishing.
"Ngoài sự phát triển nhanh chóng về chức năng công cụ, nhóm EvilToken đã thành lập một đội ngũ hỗ trợ 24/7 đầy đủ và một kênh phản hồi hỗ trợ," công ty cho biết. "Họ cũng có phản hồi từ khách hàng."
Thông tin này được đưa ra khi Palo Alto Networks Unit 42 cũng cảnh báo về một chiến dịch device code phishing tương tự, nhấn mạnh việc cuộc tấn công sử dụng các kỹ thuật anti-bot và anti-analysis để hoạt động dưới radar, đồng thời trích xuất cookie trình duyệt cho tác nhân đe dọa khi trang tải. Quan sát sớm nhất về chiến dịch này bắt nguồn từ ngày 18 tháng 2 năm 2026.
Trang phishing "vô hiệu hóa chức năng nhấp chuột phải, chọn văn bản và các thao tác kéo thả," công ty cho biết, thêm rằng nó "chặn các phím tắt bàn phím cho công cụ dành cho nhà phát triển (F12, Ctrl+Shift+I/C/J) và xem mã nguồn (Ctrl+U)" và "phát hiện các công cụ dành cho nhà phát triển đang hoạt động bằng cách sử dụng một heuristic kích thước cửa sổ, sau đó khởi tạo một vòng lặp debugger vô hạn."
