Почему антивирус не видит фишинг, пока браузер сам его не расшифрует?

Компании в США и Европе столкнулись с волной атак под названием EvilTokens. Суть проста и одновременно неприятна: вредоносная страница просто не существует в виде, доступном для сканирования, пока браузер жертвы не расшифрует её и не отрисует в DOM. Всё, что видят стандартные системы защиты почты — зашифрованный набор символов, из которого не понять вообще ничего. URL чист, содержимое письма выглядит безобидно, а ловушка срабатывает уже внутри браузера, когда человек ничего не подозревает.
Механика атаки построена на злоупотреблении легитимной функцией Microsoft — Device Code Phishing. Жертву убеждают пройти через настоящий, невыдуманный процесс входа в аккаунт Microsoft. Никто не крадёт пароль напрямую — вместо этого пользователя вынуждают самостоятельно авторизовать доступ к собственной учётной записи. Формально всё выглядит как обычная авторизация устройства, знакомая любому, кто когда-либо входил в Xbox или Teams с нового устройства. HTML-код фишинговой страницы зашифрован через AES-GCM, и содержимое становится видимым только после того, как браузер его расшифрует и отобразит. Специалисты, разбиравшие атаку, нашли ключевую точку — backend-эндпоинт /api/device/start, через который проходит весь процесс device code у Microsoft. Чтобы связать изменения в DOM с реальными запросами к этому эндпоинту, пришлось отслеживать Fetch и XHR-запросы — иначе связь между тем, что видит пользователь, и тем, что происходит на сервере, попросту не прослеживается.
Разрыв между тем, что фиксируют статические проверки URL, и тем, что реально происходит после расшифровки, создаёт целую цепочку проблем. Аккаунт Microsoft 365 остаётся под угрозой захвата дольше, чем должен бы. Решения о сдерживании атаки принимаются с задержкой. Злоумышленники получают доступ к корпоративной почте, файлам и облачным сервисам — причём часто через легитимные, «чистые» с точки зрения защиты каналы. Растёт число неоднозначных предупреждений, которые аналитики первой линии не могут закрыть самостоятельно и вынуждены передавать наверх, старшим специалистам. Это увеличивает нагрузку на расследования и, соответственно, операционные издержки. А доказательная база для блокировки связанной инфраструктуры часто оказывается неполной — просто потому, что ключевые события происходят уже после исходного ответа сервера.
Полную цепочку атаки удалось восстановить с помощью интерактивной песочницы . Главное её преимущество здесь — возможность заглянуть внутрь браузера и увидеть данные уже после расшифровки, а не только исходный зашифрованный AES-GCM-ответ. Аналитики могут наблюдать, как фишинговый контент появляется прямо в DOM, связывать эти изменения с конкретными Fetch и XHR-запросами и отслеживать device code вплоть до того самого /api/device/start.
Инструмент показывает четыре типа данных, критичных для расследования. Снимки DOM фиксируют момент, когда скрытая страница меняется и на экране появляется код авторизации пользователя. HTTP-запросы раскрывают всю подноготную коммуникации с сервером, стоящей за процессом device code. Детали URL показывают конечный пункт назначения и то, какие сигнатуры детектирования сработали. Индикаторы — домены, эндпоинты, хеши, элементы инфраструктуры — дают материал для дальнейшего threat hunting.
Масштаб проблемы подтверждают данные Threat Intelligence, собранные по 15 тысячам организаций, подававших образцы в песочницу. Статистика за 2026 год по отраслям выглядит тревожно: в консалтинге фишинговому воздействию подверглись 75,6% организаций, в финансовых услугах — 72,8%, в производстве — 71,9%, в технологическом секторе — 67,9%, в банковской сфере — 66,7%, у MSSP-провайдеров, то есть у самих компаний, занимающихся управляемой безопасностью — 66,1%. Последняя цифра особенно показательна: даже те, кто продаёт защиту другим, оказываются уязвимы почти в двух третях случаев.
Один-единственный скомпрометированный аккаунт Microsoft 365 способен раскрыть конфиденциальные данные, запустить компрометацию деловой переписки (BEC-мошенничество) и повлечь дорогостоящее реагирование на инцидент. Именно поэтому важна скорость передачи информации между уровнями SOC. Автоматически сформированный отчёт с ИИ-резюме и рекомендованными шагами позволяет старшим аналитикам сразу получать ключевые находки, наблюдаемое поведение, индикаторы и контекст реагирования в одном месте. Передача дела между линиями ускоряется, дублирование работы сокращается, а переход от проверки гипотезы к сдерживанию атаки происходит быстрее.
Для руководителей служб безопасности практическая польза складывается из нескольких вещей сразу: сокращается окно уязвимости до того, как скомпрометированный аккаунт перерастёт в полноценный инцидент; снижается нагрузка на старших аналитиков за счёт того, что первая линия уже располагает достаточными доказательствами; ускоряется сдерживание благодаря полному контексту атаки уже на этапе первой эскалации; растёт покрытие детектирования за счёт анализа поведения браузера, инфраструктуры и паттернов атаки; падают издержки на реагирование благодаря отказу от ручного дублирующего расследования; появляется возможность принимать решения на основе фактов, а не полагаться на «чистые» сканы и неопределённые вердикты.
Современный фишинг больше не раскрывает себя полностью ни в теле письма, ни в первом ответе на запрос по URL. Организациям нужна видимость на уровне браузера — а не только на уровне почты или URL-сканирования, — чтобы обнаруживать, сдерживать и реагировать на атаки вроде EvilTokens прежде, чем один скомпрометированный аккаунт превратится в полномасштабный инцидент для всего бизнеса.


Новое на сайте

Ссылка