Pesquisadores de cibersegurança detalharam um novo conjunto de atividades onde atores de ameaças estão se passando por empresas com falsas aplicações Microsoft OAuth para facilitar a coleta de credenciais como parte de ataques de tomada de conta.
"As falsas aplicações Microsoft 365 se passam por várias empresas, incluindo RingCentral, SharePoint, Adobe e Docusign," disse a Proofpoint em um relatório de quinta-feira(31).
A campanha em andamento, detectada pela primeira vez no início de 2025, é projetada para usar as aplicações OAuth como um portal para obter acesso não autorizado às contas dos usuários no Microsoft 365 por meio de kits de phishing como o Tycoon e ODx, que são capazes de conduzir phishing com autenticação de múltiplos fatores (MFA).
A empresa de segurança empresarial disse que observou a abordagem sendo usada em campanhas de email com mais de 50 aplicações sendo impostas.
Os ataques começam com e-mails de phishing enviados de contas comprometidas e visam enganar os destinatários a clicar em URLs sob o pretexto de compartilhar solicitações de cotações (RFQ) ou acordos de contrato comercial.
Clicar nesses links direciona a vítima para uma página Microsoft OAuth de uma aplicação chamada "iLSMART" que solicita permissão para visualizar seu perfil básico e manter acesso contínuo aos dados aos quais foi concedido acesso.
O que torna este ataque notável é a impostação da ILSMart, um mercado online legítimo para as indústrias de aviação, marinha e defesa comprarem e venderem peças e serviços de reparo.
"As permissões das aplicações forneceriam uso limitado a um atacante, mas são usadas para configurar a próxima etapa do ataque," disse a Proofpoint.
Independentemente de o alvo aceitar ou negar as permissões solicitadas, eles são primeiro redirecionados para uma página CAPTCHA e, em seguida, para uma página de autenticação de conta Microsoft falsa após a verificação estar completa.
Esta página Microsoft falsa utiliza técnicas de phishing adversary-in-the-middle (AitM) impulsionadas pela plataforma Tycoon Phishing-as-a-Service (PhaaS) para colher as credenciais da vítima e códigos de MFA.
Tão recentemente quanto no mês passado, a Proofpoint disse que detectou outra campanha se passando pela Adobe na qual os emails são enviados via Twilio SendGrid, uma plataforma de marketing por email, e são elaborados com o mesmo objetivo em mente: obter a autorização do usuário ou disparar um fluxo de cancelamento que redireciona a vítima para uma página de phishing.
A campanha representa apenas uma gota no balde quando comparada à atividade geral relacionada ao Tycoon, com múltiplos conjuntos explorando o kit de ferramentas para realizar ataques de tomada de conta.
Somente em 2025, foram observadas tentativas de comprometimento de conta afetando quase 3.000 contas de usuários em mais de 900 ambientes Microsoft 365.
"Os atores de ameaças estão criando cadeias de ataque cada vez mais inovadoras na tentativa de burlar detecções e obter acesso a organizações globalmente," a empresa disse, adicionando que "antecipa que atores de ameaças visarão cada vez mais a identidade dos usuários, com o phishing de credenciais AiTM se tornando o padrão da indústria criminosa."
Até o mês passado, a Microsoft anunciou planos para atualizar as configurações padrão para melhorar a segurança, bloqueando protocolos de autenticação legados e exigindo consentimento do administrador para acesso a aplicativos de terceiros.
As atualizações devem ser concluídas até agosto de 2025.
"Esta atualização terá um impacto positivo no panorama geral e dificultará a ação de atores de ameaças que usam essa técnica," a Proofpoint apontou.
A divulgação segue a decisão da Microsoft de desabilitar por padrão links de trabalho externo para tipos de arquivo bloqueados entre outubro de 2025 e julho de 2026 em uma tentativa de melhorar a segurança do workbook.
Os resultados também surgem quando emails de spear-phishing contendo supostos recibos de pagamento são usados para implantar, por meio de um injetor baseado em AutoIt, uma peça de malware .NET chamada VIP Keylogger que pode roubar dados sensíveis de hosts comprometidos, disse a Seqrite.
Ao longo de vários meses, campanhas de spam foram vistas ocultando links de instalação para software de desktop remoto dentro de arquivos PDF a fim de driblar defesas de email e malware.
Acredita-se que a campanha esteja em andamento desde novembro de 2024, visando principalmente entidades na França, Luxemburgo, Bélgica e Alemanha.
"Esses PDFs são frequentemente disfarçados para se parecerem com faturas, contratos ou listagens de propriedades para aumentar a credibilidade e atrair vítimas para clicar no link embutido," disse a WithSecure.
"Este design foi intencionado para criar a ilusão de conteúdo legítimo que foi obscurecido, induzindo a vítima a instalar um programa. Neste caso, o programa era o FleetDeck RMM."
Outras ferramentas de Monitoramento e Gerenciamento Remoto (RMM) implantadas como parte do conjunto de atividades incluem Action1, OptiTune, Bluetrait, Syncro, SuperOps, Atera e ScreenConnect.
"Embora nenhum payload pós-infecção tenha sido observado, o uso de ferramentas RMM sugere fortemente seu papel como um vetor de acesso inicial, potencialmente habilitando atividades maliciosas adicionais," a empresa finlandesa adicionou.
Operadores de ransomware, em particular, têm favorecido esta abordagem.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...