Uma empresa especializada em cibersegurança revelou que cibercriminosos estão se valendo de apps falsificados da Adobe e DocuSign para invadir contas do Microsoft 365.
Os ataques utilizam uma técnica de redirecionamento OAuth para capturar credenciais de acesso, redirecionando os usuários para websites fraudulentos.
Apesar de se tratar de uma ofensiva direcionada, com alvos previamente definidos, a amplitude do risco não deve ser subestimada.
A entidade Proofpoint foi quem identificou o esquema, no qual estão sendo distribuídos malwares por meio de aplicativos apócrifos das conhecidas Adobe e DocuSign.
O intuito principal, porém, é o acesso não autorizado a contas no Microsoft 365.
A armadilha inicia com uma estratégia de engenharia social, enviada principalmente por e-mail, onde são enviadas mensagens que simulam ser de ferramentas confiáveis, como Adobe e DocuSign.
Ao acionar um desses apps fraudulentos, o agressor se aproveita do OAuth, um protocolo de segurança aberto que permite a aplicativos obterem acesso a informações específicas do usuário sem revelar sua senha, para interceptar os dados de acesso.
Caso o usuário não detecte a falsidade do app e conceda as permissões requeridas, dados como nome completo, nome de usuário, endereço eletrônico e "openid" — esse último facilitando a confirmação de identidade — são capturados.
À primeira vista, esses dados podem parecer inofensivos por não viabilizarem, por si só, o acesso direto à conta visada.
No entanto, são suficientemente informativos para elaborar ataques personalizados, como um e-mail de phishing que menciona o nome completo do indivíduo, por exemplo.
O artifício dos criminosos não cessa após a concessão das permissões via OAuth.
O passo seguinte envolve direcionar a vítima para páginas web enganosas, que ora distribuem malwares, ora solicitam que o usuário efetue login com sua conta do Microsoft 365.
“Houve casos em que as vítimas foram encaminhadas para uma pseudo ‘página de login do O365’, alojada em um domínio nocivo. Não passou nem um minuto após a autorização e a Proofpoint já identificava atividades suspeitas na conta”, reporta a investigação.
Para resguardar sua conta do Office 365 desse tipo de ameaça, o passo inicial é verificar a procedência de qualquer aplicativo que requeira permissões via OAuth.
Nesses eventos específicos, havia um aviso de “unverified” (não verificado) abaixo do nome supostamente oficial do aplicativo, sinalizando um potencial perigo.
É vital também inspecionar se a página que requisita o login com suas credenciais no Microsoft 365 é autêntica, checando se pertence ao domínio da Microsoft ou de sua respectiva organização.
Como medida preventiva, aconselha-se visitar o site myapplications.microsoft.com com regularidade para excluir quaisquer apps desconhecidos listados.
Felizmente, trata-se de um ataque segmentado, indicando que somente um contingente limitado de usuários está em risco.
Porém, adotar uma postura vigilante continua sendo uma prática recomendável.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...