Зловмисники зламували легітимні вебсайти та вбудовували у них шкідливий JavaScript-код. Приблизно 10% відвідувачів таких ресурсів перенаправлялися на підроблені сторінки, що імітували перевірку від Cloudflare. Користувачів намагалися переконати ввести справжній код авторизації пристрою у форму входу, що фактично надавало доступ до їхніх облікових записів Microsoft, пише Тhehackernews.

За даними Amazon, ця схема поєднувалася з різними методами маскування, зокрема використанням Base64 для приховування шкідливого коду, встановленням cookie-файлів для уникнення повторних перенаправлень та швидкою зміною інфраструктури у разі блокування.

APT29, також відоме під назвами BlueBravo, Cozy Bear, Midnight Blizzard та іншими, у 2025 році активно застосовує нові техніки фішингу, зокрема через Microsoft 365 і Google. У червні Google зафіксував використання цією групою функції application-specific passwords для доступу до електронної пошти жертв.

Amazon зазначає, що навіть після міграції зловмисників на інші хмарні сервіси їхню діяльність вдалося відстежити й перервати.

Не забудьте підписатись на наш телеграм-канал. Там ще більше оперативної інформації!