Egy nyilvánosan elérhető, hibásan konfigurált szerveren hagyott Python HTTP-kiszolgáló segítségével a Lexfo kutatói három, Microsoft 365-felhasználókat célzó adathalász kampány működését térképezték fel. A szerveren elérhető könyvtárlista
és a .bash_history fájl olyan érzékeny adatokat fedett fel, mint az Evilginx-alapú adathalász készletek, hitelesítő adatok naplói, távoli menedzsment eszközök, Telegram-botok és egyéb operátori fájlok. A vizsgálat szerint az egyik kampány több mint egy éven keresztül működött, elsősorban vállalati Microsoft 365-postafiókokat támadva, miközben az infrastruktúra folyamatosan új aldomainnevekkel és tanúsítványokkal alkalmazkodott a felderítéshez.
Az elemzés két eltérő támadási módszert azonosított. Az egyik klasszikus adversary-in-the-middle (AiTM) technikát alkalmazott Evilginx segítségével, amely a bejelentkezési folyamat közvetítésével hitelesítési munkameneteket szerzett meg. A másik ezzel szemben a Microsoft OAuth Device Code hitelesítési folyamatát használta ki: a támadók egy megtévesztő oldalon keresztül arra vették rá az áldozatokat, hogy egy valós Microsoft bejelentkezési oldalon hajtsák végre a hitelesítést és az MFA-jóváhagyást, így a támadók jogszerűen kiállított hozzáférési tokeneket szereztek. A kutatás arra is rámutatott, hogy a támadók több esetben mesterséges intelligencia által generált vagy támogatott kódrészleteket használtak
a kampányok testreszabásához, elsősorban a segédszkriptek és az adathalász komponensek fejlesztése során.
A kutatók szerint a két támadási technika eltérő védekezési megközelítést igényel. Míg az Evilginx-alapú AiTM támadások ellen a phishing-ellenálló hitelesítési megoldások, mint például a FIDO2 biztonsági kulcsok vagy a passkey-alapú bejelentkezések jelenthetnek hatékony védelmet, addig a Device Code Flow visszaéléseinek mérsékléséhez elsősorban Microsoft Entra Conditional Access szabályok bevezetése, a Device Code hitelesítés korlátozása, valamint a Continuous Access Evaluation (CAE) használata ajánlott. A Lexfo értékelése szerint a nyílt forráskódú támadóeszközök, az egyszerűen beszerezhető infrastruktúra és a mesterséges intelligencia együttes alkalmazása jelentősen csökkentette a kifinomult Microsoft 365-ös adathalász kampányok megvalósításának technikai belépési küszöbét.
