Зловмисники атакують організації в різних галузях за допомогою голосового фішингу: під виглядом вимоги безпеки вони переконують користувачів Microsoft 365 зареєструвати новий ключ доступу (passkey) Microsoft Entra. Насправді ж, поки жертва виконує безглузді дії на фішинговому сайті, атакувальники реєструють в її обліковому записі власний ключ доступу, який дає їм постійний доступ до акаунта.
Кампанія триває щонайменше з квітня 2026 року, повідомляє Okta Threat Intelligence. Компанія повʼязує активність з угрупованням, яке відстежує під ідентифікатором O-UNC-066 і яке стоїть за вимагацькою операцією Pink. Серед цілей — організації у сферах харчової промисловості, технологій, охорони здоровʼя, автомобілебудування, будівництва та авіації.
Зловмисники використовують вдалий момент: із травня 2026 року адміністратори Microsoft Entra ID можуть запускати кампанії реєстрації ключів доступу, які нагадують користувачам про перехід на безпечнішу автентифікацію під час входу. Саме це легітимне «оновлення безпеки» і стало правдоподібним приводом для атак.
Приманка під виглядом оновлення безпеки
Атака починається з телефонного дзвінка: працівникові повідомляють, що з міркувань безпеки він має зареєструвати новий ключ доступу Microsoft Entra, і скеровують на фішинговий сайт, доменне імʼя якого містить слово passkey. Дослідники Okta зафіксували домени assignpasskey[.]com, deploypasskey[.]com, passkeydeploy[.]com, passkeyadd[.]com та setpasskey[.]com — для кожної цільової організації створюється окремий піддомен з її назвою, а сторінки оформлені з використанням легітимного брендингу компанії-жертви.
На відміну від поширеніших фішингових проксі типу «супротивник посередині» (AiTM), тут використовується панель на PHP, якою оператор керує вручну. За описом Okta, оператор у режимі, наближеному до реального часу (сторінка опитує сервер щосекунди), проводить жертву через етапи автентифікації та підлаштовує сценарій під метод багатофакторної автентифікації (MFA) конкретного користувача — одноразовий код із застосунку (TOTP), push-сповіщення зі звіркою числа або SMS-код.
Логін, пароль і відповіді на MFA-виклики, які жертва вводить на фішингових сторінках, миттєво передаються операторові — і той використовує їх, щоб увійти у справжній обліковий запис Microsoft жертви.
Фальшива «фраза відновлення» як відволікання
Поки жертва вважає, що реєструє ключ доступу для себе, атакувальник реєструє в її акаунті ключ, який контролює сам. Щоб виграти час, фішинговий сайт показує підроблені сторінки реєстрації ключа з брендингом Microsoft: користувача просять зберегти «фразу відновлення» зі списку слів BIP-39 і підтвердити одне з них.
В Okta наголошують, що seed-фрази BIP-39 — механізм зі світу криптовалютних гаманців — не мають жодного стосунку до легітимної реєстрації ключів доступу Microsoft Entra. Це лише трюк, розрахований на користувачів, які не знайомі з процесом: справжня реєстрація ключа доступу супроводжується системним діалогом на пристрої, а не «фразами відновлення» на сайті.
Наприкінці жертва бачить сторінку про «успішну реєстрацію». Microsoft при цьому надсилає власникові акаунта легітимний лист про додавання нового ключа доступу — але зловмисник може назвати свій ключ так, щоб не викликати підозр.
Хто стоїть за атаками: вимагацьке угруповання Pink
За даними Palo Alto Networks Unit 42, Pink (кластер CL-CRI-1147) — новий вимагацький бренд, повʼязаний із децентралізованою кіберзлочинною мережею The Com (скорочення від The Community). Угруповання відоме використанням вішингу та видаванням себе за IT-підтримку задля збирання облікових даних і кодів MFA, які потім застосовуються в атаках із викраденням корпоративних даних.
31 травня 2026 року Pink запустило сайт витоків, де публікує зразки викрадених даних, аби тиснути на скомпрометовані компанії та змушувати їх платити викуп. Після отримання доступу до облікового запису зловмисники швидко переходять до викачування даних із сервісів SharePoint і OneDrive. За оцінкою The Register, Pink може бути ребрендингом раніших вимагацьких угруповань, зокрема BlackFile.
Фішингову інфраструктуру кампанії розміщено на хостингах DDoS-Guard (росія) та IQWeb FZ-LLC (США).
Як захиститися
В Okta рекомендують організаціям запровадити чіткі процедури перевірки особи працівників служби підтримки, коли ті звертаються до користувачів, а також блокувати запити з регіонів, де компанія не веде діяльності. Користувачам варто памʼятати головне: справжня реєстрація ключа доступу ніколи не відбувається під диктовку незнайомця по телефону. Отримавши подібний дзвінок, слід покласти слухавку та звʼязатися з власним IT-відділом за відомим внутрішнім номером.

