Cibercriminosos estão promovendo aplicativos maliciosos do Microsoft OAuth que se passam por aplicativos da Adobe e DocuSign para entregar malware e roubar credenciais de contas do Microsoft 365.
As campanhas foram descobertas por pesquisadores da Proofpoint, que as caracterizaram como "altamente direcionadas" em uma discussão no X.
Os aplicativos maliciosos OAuth nesta campanha estão se passando por Adobe Drive, Adobe Drive X, Adobe Acrobat e DocuSign.
Esses aplicativos solicitam acesso a permissões menos sensíveis como 'profile', 'email' e 'openid', para evitar detecção e suspeita.
Se essas permissões forem concedidas, o atacante tem acesso a:
- profile – Nome completo, ID do usuário, foto de perfil, nome de usuário
- email – endereço de email primário (sem acesso à caixa de entrada)
- openid – permite a confirmação da identidade do usuário e a recuperação dos detalhes da conta Microsoft
A Proofpoint informou que as campanhas de phishing foram enviadas de instituições de caridade ou pequenas empresas usando contas de email comprometidas, provavelmente contas do Office 365.
Os e-mails visavam várias indústrias nos EUA e na Europa, incluindo governo, saúde, cadeia de suprimentos e varejo.
Alguns dos e-mails vistos pela firma de cibersegurança usavam RFPs (Solicitações de Proposta) e iscas de contrato para enganar os destinatários a abrir os links.
Embora os privilégios de aceitar o aplicativo do Microsoft OAuth tenham fornecido dados limitados aos atacantes, as informações ainda poderiam ser usadas para ataques mais direcionados.
Além disso, uma vez que a permissão é dada ao aplicativo OAuth, ele redireciona os usuários para páginas de destino que exibem formulários de phishing para credenciais do Microsoft 365 ou distribuem malware.
"As vítimas passaram por múltiplos redirecionamentos e etapas após autorizar o aplicativo O365 OAuth, até serem apresentadas com o malware ou a página de phishing por trás," informou a Proofpoint.
Em alguns casos, as vítimas foram redirecionadas para uma página de 'login O365' (hospedada em domínio malicioso).
Em menos de um minuto após a autorização, a Proofpoint detectou atividade de login suspeita na conta.
A Proofpoint disse que não conseguiu determinar o malware distribuído, mas os atacantes utilizaram o ataque de engenharia social ClickFix, que se tornou muito popular ao longo do último ano.
Os ataques são semelhantes aos relatados anos atrás, indicando que aplicativos OAuth continuam sendo uma maneira eficaz de sequestrar contas do Microsoft 365 sem roubar credenciais.
Usuários são aconselhados a ter cautela com solicitações de permissão de aplicativo OAuth e sempre verificar sua fonte e legitimidade antes de aprová-las.
Para verificar aprovações existentes, vá para 'Meus Apps' (myapplications.microsoft.com) → 'Gerenciar seus apps' → e revogue quaisquer apps não reconhecidos naquela tela.
Administradores do Microsoft 365 também podem limitar completamente a permissão dos usuários para consentir solicitações de aplicativos OAuth de terceiros por meio de 'Aplicativos Empresariais' → 'Consentimento e Permissões' → definir 'Usuários podem consentir com apps' para 'Não'.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...