13 lipca 2026 r. francuska firma Lexfo odkryła trzy kampanie phishingowe Evilginx po tym, jak atakujący pozostawił serwer Python z włączonym listowaniem katalogów.

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What are the details of the recent Microsoft 365 phishing campaigns exposed by a misconfigured se. Article summary: On **July 13, 2026**, researchers at the French security firm **Lexfo** uncovered three live Evilginx-based phishing operations targeting Microsoft 365 after an attacker left a Python web server exposed on a public port . Topic tags: general, government, education, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, wat
W lipcu 2026 roku dwa niezależne odkrycia ujawniły falę wyrafinowanych ataków phishingowych na Microsoft 365, które omijają uwierzytelnianie wieloskładnikowe (MFA) na dwa zasadniczo różne sposoby: ataki typu adversary-in-the-middle (AiTM) z użyciem proxy oraz nadużycie uwierzytelniania za pomocą kodu urządzenia. Pierwsze odkrycie było wynikiem błędu atakującego — źle skonfigurowanego serwera Python, który ujawnił trzy aktywne kampanie. Drugie pochodziło od badaczy śledzących nową komercyjną platformę phishingową o nazwie Forg365. Zrozumienie mechanizmu każdego ataku to pierwszy krok do wdrożenia właściwych zabezpieczeń, ponieważ to, co działa na jeden typ, nie powstrzymuje drugiego.
13 lipca 2026 roku badacze z francuskiej firmy Lexfo odkryli trzy aktywne operacje phishingowe oparte na Evilginx, wymierzone w Microsoft 365, po tym jak atakujący pozostawił serwer Python odsłonięty na publicznym porcie z włączonym listowaniem katalogów. Polecenie python3 -m http.server 8080.bash_history serwera. Z tego otwartego katalogu Lexfo przejęło cały zestaw narzędzi operatora, logi i przechwycone dane ofiar, a następnie zidentyfikowało dwóch kolejnych operatorów prowadzących oddzielne kampanie .
Wszystkie trzy operacje to kampanie phishingowe AiTM oparte na Evilginx, które pośredniczyły w logowaniu do Microsoft 365, aby kraść tokeny sesyjne po pomyślnym przejściu MFA przez ofiarę . Jedna z trzech kampanii zarejestrowała 218 przechwyconych kont z 12 krajów, z czego 94% stanowiły skrzynki firmowe
. Operacje wykorzystywały dwie różne ścieżki ataku: kradzież tokena sesyjnego Evilginx (za pomocą proxy AiTM) oraz phishing z kodem urządzenia — jeden zestaw narzędzi wysyłał ofiary do prawdziwej strony logowania Microsoft, gdzie same autoryzowały dostęp, a backend atakującego zbierał token
.
Osobno platforma Forg365 (PhaaS) została zidentyfikowana przez badaczy ZeroBEC (zgłoszona 9–13 lipca 2026) jako komercyjny zestaw narzędzi dystrybuowany przez Telegram, kosztujący 400 dolarów miesięcznie (lub 3800 dolarów rocznie). W przeciwieństwie do niestandardowych forków Evilginx znalezionych na otwartym serwerze, Forg365 łączy wiele metod ataku i narzędzi w jeden panel operatorski .
Forg365 łączy trzy podstawowe funkcje:
Platforma zawiera również ominięcie botów (wykrywa piaskownice i skanery bezpieczeństwa), dostęp do skrzynek po kompromitacji (operatorzy mogą przeglądać i wyciągać e-maile z panelu), rotację SMTP i harmonogram kampanii .
Te dwa odkrycia ilustrują kluczową różnicę między atakami AiTM a nadużyciem kodu urządzenia. Zrozumienie tej różnicy jest niezbędne, ponieważ to samo zabezpieczenie nie działa w obu przypadkach:
Ataki AiTM (styl Evilginx): Atakujący konfiguruje fałszywą stronę logowania, która pośredniczy w ruchu do prawdziwej strony logowania Microsoftu. Ofiara wprowadza hasło i przechodzi MFA na proxy atakującego. Po pomyślnym uwierzytelnieniu Microsoft wydaje ciasteczko sesyjne temu, co uważa za przeglądarkę legalnego użytkownika — ale to ciasteczko trafia do proxy atakującego, a nie do przeglądarki ofiary. Atakujący może następnie odtworzyć to ciasteczko, aby uzyskać dostęp do konta Microsoft 365 ofiary .
Phishing z kodem urządzenia: Atakujący generuje legalny kod urządzenia Microsoftu (krótki kod używany do logowania na urządzeniach bez klawiatury, np. telewizorach Smart TV) i wysyła go ofierze w e-mailu phishingowym. Ofiara odwiedza prawdziwą stronę logowania Microsoftu, wprowadza kod, przechodzi MFA i autoryzuje aplikację atakującego. Nic nie jest „omijane
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
13 lipca 2026 r. francuska firma Lexfo odkryła trzy kampanie phishingowe Evilginx po tym, jak atakujący pozostawił serwer Python z włączonym listowaniem katalogów.
13 lipca 2026 r. francuska firma Lexfo odkryła trzy kampanie phishingowe Evilginx po tym, jak atakujący pozostawił serwer Python z włączonym listowaniem katalogów. Kluczowa różnica w obronie: ataki AiTM neutralizuje phishing resistant MFA (FIDO2/passkeys), a device code phishing najlepiej blokować przez wyłączenie przepływu kodu urządzenia w Conditional Access.
Platforma Forg365 to komercyjne PhaaS (Phishing as a Service) za 400 dolarów miesięcznie, łączące AiTM, device code phishing i AI do generowania treści.