A Microsoft alertou que adversários estão usando aplicativos OAuth como uma ferramenta de automação para implantar máquinas virtuais (VMs) para mineração de criptomoedas e lançar ataques de phishing.
"Os atores de ameaças comprometem as contas dos usuários para criar, modificar e conceder altos privilégios aos aplicativos OAuth que eles podem abusar para esconder atividades maliciosas", disse a equipe de Inteligência de Ameaças da Microsoft em uma análise.
"O abuso do OAuth também permite que os atores de ameaças mantenham acesso aos aplicativos mesmo que percam o acesso à conta inicialmente comprometida."
OAuth, abreviação de Autorização Aberta, é um framework de autorização e delegação (em oposição à autenticação) que fornece aos aplicativos a capacidade de acessar informações de outros sites com segurança sem fornecer senhas.
Nos ataques detalhados pela Microsoft, os atores de ameaças foram observados lançando ataques de phishing ou borrifação de senha contra contas mal protegidas com permissões para criar ou modificar aplicativos OAuth.
Um desses adversários é o Storm-1283, que usou uma conta de usuário comprometida para criar um aplicativo OAuth e implantar VMs para mineração de criptomoedas.
Além disso, os atacantes modificaram aplicativos OAuth existentes aos quais a conta tinha acesso, adicionando um conjunto extra de credenciais para facilitar os mesmo objetivos.
Em outra instância, um ator não identificado comprometeu contas de usuários e criou aplicativos OAuth para manter persistência e lançar ataques de phishing por email que usam um kit de phishing de adversário-no-meio (AiTM) para pilhar cookies de sessão de seus alvos e contornar medidas de autenticação.
"Em alguns casos, após a atividade de repetição de cookies de sessão roubados, o ator usou a conta de usuário comprometida para realizar um reconhecimento de fraude financeira BEC abrindo anexos de email no Microsoft Outlook Web Application (OWA) que contêm palavras-chave específicas como 'pagamento' e 'fatura'," disse a Microsoft.
Outros cenários detectados pela gigante da tecnologia após o roubo de cookies de sessão envolvem a criação de aplicativos OAuth para distribuir emails de phishing e realizar atividades de spam em grande escala.
A Microsoft está rastreando este último como Storm-1286.
Para mitigar os riscos associados a tais ataques, recomenda-se que as organizações aplicam autenticação multifatorial (MFA), habilitam políticas de acesso condicional e auditam regularmente aplicativos e permissões concedidas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...