Nach Angaben von ReliaQuest beginnt der Angriff mit Device-Code-Phishing typischerweise damit, dass ein Bedrohungsakteur eine Anmeldeanfrage an einen Microsoft-Dienst wie Microsoft 365 auslöst. Daraufhin erzeugt die Plattform einen Geräte-Autorisierungscode. Über Social Engineering wird das Opfer dann dazu gebracht, sich auf der legitimen Microsoft-Anmeldeseite einzuloggen und diesen Code einzugeben. Damit autorisiert es ein vom Angreifer kontrolliertes Gerät. Benutzername und Passwort des Opfers werden in diesem Ablauf nicht benötigt.

Jalisco automatisiert diesen Prozess laut ReliaQuest weiter. Das Toolkit erzeugt in dem Moment, in dem ein Opfer die Phishing-Seite öffnet, automatisch neue Microsoft-OAuth-Device-Codes. Durch diese Bereitstellung in Echtzeit umgeht es gezielt die von Microsoft gesetzte Gültigkeitsdauer von 15 Minuten für solche Codes, die gerade als Gegenmaßnahme gegen Device-Code-Phishing gedacht ist.

Hinzu kommt eine Verwaltungsoberfläche, über die die Betreiber erbeutete Sitzungen und kompromittierte Konten verwalten können. ReliaQuest hat zudem Fälle beobachtet, in denen Angreifer fünf betrügerische Geräte in einem einzigen kompromittierten Konto registrierten. Teilweise trugen diese laut den Forschern unauffällige Namen mit Begriffen wie „Microsoft“ oder „Windows“, um weniger Verdacht zu erregen.

Sobald ein Konto übernommen wurde, durchsuchen Angreifer laut ReliaQuest SharePoint und andere SaaS-Dienste nach wertvollen Daten. Die Exfiltration erfolge typischerweise sehr schnell, mitunter innerhalb von nur sechs Minuten, noch bevor Verteidiger die Kompromittierung erkannt haben. ReliaQuest zufolge werden kompromittierte Konten genutzt, um sensible Daten wie personenbezogene Informationen von Kunden oder Beschäftigten, Finanzunterlagen und interne Kommunikation aus SharePoint und anderen SaaS-Plattformen abzuziehen. Anschließend folgen Erpressungsforderungen mit der Drohung, die Daten zu veröffentlichen.

OmegaLord verfolgt einen anderen Ansatz. Das Toolkit verwendet eine gefälschte Anmeldeseite eines PDF-Readers, um E-Mail-Adressen, Passwörter und Telefonnummern zu stehlen. Nach Einschätzung von ReliaQuest zielt die explizite Erfassung von Telefonnummern darauf ab, MFA-Schutzmechanismen zu umgehen. Die Forscher werten das als weiteres Beispiel dafür, dass Angreifer die Mehrfaktor-Authentifizierung gezielt technisch und organisatorisch umschiffen.

Jalisco reiht sich damit in eine wachsende Liste von Werkzeugen ein, die auf die Device-Code-Methode setzen. ReliaQuest nennt in diesem Zusammenhang auch EvilTokens, Kali365, Tycoon2FA, Venom und Forg365.

Als Gegenmaßnahmen empfiehlt ReliaQuest, die Obergrenze für Geräte-Registrierungen in Entra ID vom Standardwert 50 auf eins oder zwei zu senken. Das solle im Fall übernommener Konten auch Reaktions- und Bereinigungszeiten verkürzen. Zusätzlich raten die Forscher dazu, Device-Code-Authentifizierung über Microsoft Entra Conditional Access zu blockieren, die OAuth-Geräteautorisierung in Okta einzuschränken sowie unnötige App-Registrierungen zu prüfen und zu entfernen.