Objavila sa sofistikovaná phishingová kampaň, ktorá úspešne obchádza viacfaktorovú autentifikáciu a chráni používateľov služieb Microsoft 365 a Okta, čo predstavuje vážnu hrozbu pre organizácie spoliehajúce sa na tieto platformy pri správe identity.
Kampaň, ktorá bola objavená začiatkom decembra 2025, demonštruje pokročilé znalosti tokov autentifikácie.
Táto kampaň sa zameriava na spoločnosti vo viacerých odvetviach prostredníctvom starostlivo vytvorených phishingových e-mailov maskovaných ako upozornenia týkajúce sa ľudských zdrojov a výhod.
Bezpečnostní analytici Datadog Security Labs identifikovali túto aktívnu phishingovú kampaň, ktorá sa špecificky zameriava na organizácie používajúce Microsoft 365 a Okta pre služby jednotného prihlásenia.
Kampaň využíva moderné phishingové techniky určené na zachytenie legitímnych pracovných tokov SSO, čo útočníkom umožňuje zachytiť poverenia používateľa aj tokeny relácie skôr, ako MFA môže zablokovať neoprávnený prístup.
Útočníci zaregistrovali viacero podobných domén vrátane sso.okta-secure.io, sso.okta-cloud.com a sso.okta-access.com, čím vytvorili presvedčivé repliky overovacích stránok.
Phishingová kampaň (zdroj – Datadog)
Phishingové e-maily odosielané z napadnutých poštových schránok prepojených s marketingovým cloudom Salesforce využívajú návnady zamerané na odmeňovanie, ako sú koncoročné kontroly platov a informácie o bonusoch.
Tieto správy zahŕňajú skrátené odkazy, ktoré presmerujú obete na phishingové domény prvej fázy hostené v infraštruktúre Cloudflare.
Organizácie zaznamenali, že tieto e-maily v posledných týždňoch dostávajú stovky používateľov vo viacerých spoločnostiach, pričom kampaň zostáva aktívna od decembra 2025.
Útok je úspešný prostredníctvom dvojfázového phishingového procesu, ktorý využíva získavanie poverení na základe JavaScriptu. V prvej fáze útočníci zastupujú legitímne stránky Okta, pričom vkladajú škodlivý kód, ktorý zachytáva používateľské mená a monitoruje súbory cookie relácie.
Phishingová stránka (zdroj – Datadog)
Vložený skript inject.js nepretržite monitoruje špecifické kritické súbory cookie vrátane idx, JSESSIONID, proximity_, DT a sid, ktoré sú nevyhnutné na udržiavanie overených relácií.
Skript každú sekundu skontroluje nové alebo upravené súbory cookie a exfiltruje ich na server útočníka prostredníctvom požiadavky POST na koncový bod /log_cookie, čo útočníkovi umožní vydávať sa za reláciu obete v ich vlastnom prehliadači.
Pochopenie mechanizmu zachytávania poverení založeného na JavaScripte
Technická náročnosť spočíva v tom, ako funguje zachytávanie JavaScriptu počas procesu autentifikácie.
Škodlivý kód zachytí metódu window.fetch a presmeruje všetky legitímne požiadavky z Okta späť na phishingovú doménu útočníka.
Keď obeť zadá svoje používateľské meno, skript ho zachytí prostredníctvom poslucháčov udalostí DOM a uloží ho na viacerých miestach vrátane localStorage, sessionStorage a cookies.
To zaisťuje zachytenie poverení, aj keď používateľ prechádza medzi stránkami alebo vymaže úložisko prehliadača.
Tok phishingových stránok Microsoft 365 (zdroj – Datadog)
Pre obete používajúce Okta ako poskytovateľa identity s Microsoft 365 sa útok stáva ešte nebezpečnejším.
Keď obeť spustí overovanie Microsoft 365, druhý vložený skript monitoruje odpovede z koncového bodu overovania spoločnosti Microsoft pre pole s názvom FederationRedirectUrl.
Skript zistí, keď táto adresa URL ukazuje na doménu Okta, a dynamicky ju upraví, aby namiesto toho presmerovala na útočníkovu druhú fázu phishingovej stránky Okta.
Doména útočníka potom odošle všetku návštevnosť legitímnemu nájomcovi Okta, čím sa vytvorí bezproblémové prostredie, ktoré prinúti používateľov dokončiť autentifikáciu na phishingovom webe.
Súbory cookie relácie zachytené počas tohto procesu poskytujú útočníkom okamžitý prístup k účtom obetí bez toho, aby vyžadovali obchádzanie MFA – jednoducho prehrajú ukradnuté poverenia relácie.
Organizácie by mali monitorovať svoje denníky Okta pre udalosti auth_via_mfa s nezhodným pôvodom žiadostí z IP adries Cloudflare a implementovať metódy MFA odolné voči phishingu, ako sú bezpečnostné kľúče FIDO2, aby sa zabránilo takýmto útokom.
Sledujte nás na Google News, LinkedIn a X a získajte ďalšie okamžité aktualizácie, nastavte CSN ako preferovaný zdroj v Google.
