Aanvallers maken gebruik van malafide Cloudflare-captcha's om toegang tot Microsoft 365-accounts te krijgen, zo laat Amazon weten. De aanval bestaat uit verschillende stappen, waarbij de aanvallers als eerste legitieme websites compromitteren. Welke websites dit zijn wordt niet door Amazon gemeld. Vervolgens voegen de aanvallers JavaScript aan de gecompromitteerde website toe. Deze code stuurt een deel van de bezoekers door naar een site van de aanvallers.

Deze site doet zich voor als Cloudflare-captcha en stelt dat de bezoeker eerst een bepaalde actie moet uitvoeren om toegang tot de achterliggende website te krijgen. De uit te voeren actie is een Microsoft 'device code authentication workflow', aldus Amazon. Microsoft biedt device code authentication voor apparaten met beperkte invoermogelijkheden, zoals bijvoorbeeld smart-tv's, internet of things-apparaten en printers.

Een gebruiker moet hiervoor een aparte code door Microsoft laten genereren en die vervolgens bij het inloggen opgeven. Microsoft zal dan een token genereren waarmee het 'invoer beperkte' apparaat kan inloggen. Bij de aanvallen zijn het echter de aanvallers die een device code genereren. Ze proberen het slachtoffer dan deze code tijdens het inloggen op zijn M365-account in te laten voeren.

Microsoft genereert dan een token voor het apparaat dat de device code had opgevraagd, dat de aanvallers vervolgens ontvangen. De aanvallers gebruiken dit token om op het Microsoft-account van het slachtoffer in te loggen. Begin dit jaar waarschuwde ook Microsoft voor dergelijke aanvallen. Volgens Amazon zijn de aanvallen het werk van een aan Rusland gelieerde groep genaamd APT29. Amazon adviseert internetgebruikers om alert te zijn op verdachte redirects, met name die zich voordoen als captcha of "security verification" pagina's.