.
Os criminosos que usam aplicativos OAuth maliciosos abusaram do status de “editor verificado” da Microsoft para obter acesso aos ambientes de nuvem das organizações, roubar dados e invadir as caixas de correio, calendários e reuniões dos usuários.
De acordo com pesquisadores da Proofpoint, que descobriram a campanha no início de dezembro, sequestrar o status de “editor verificado” permitiu que os cibercriminosos satisfizessem alguns dos requisitos da Microsoft para distribuição de aplicativos OAuth.
Eles enganaram as organizações para conceder consentimento a solicitações de OAuth de terceiros mal-intencionados para acesso a dados que poderiam ser acessados por meio da conta de um usuário. Esses dados incluíam e-mails, configurações de caixa de correio, arquivos e outros dados.
“O impacto potencial para as organizações inclui contas de usuário comprometidas, exfiltração de dados, abuso de marca de organizações personificadas, fraude de comprometimento de e-mail comercial (BEC) e abuso de caixa de correio”, escreveram os pesquisadores da Proofpoint em um relatório Terça-feira.
“O ataque tinha menos probabilidade de ser detectado do que os ataques tradicionais de phishing ou força bruta. As organizações normalmente têm controles de defesa mais fracos contra agentes de ameaças usando aplicativos OAuth verificados.”
Microsoft explicou em um declaração que desabilitou os aplicativos fraudulentos e contatou os clientes afetados. O Security Response Center da gigante do software escreveu que os criminosos se passaram por empresas legítimas ao se inscrever no Cloud Partner Program (MCPP) da Microsoft e usaram contas de parceiros fraudulentas para adicionar um editor verificado aos registros OAuth criados no Azure Active Directory.
“Os aplicativos criados por esses atores fraudulentos foram usados em uma campanha de phishing de consentimento, que induziu os usuários a conceder permissões aos aplicativos fraudulentos”, escreveu a Microsoft, observando que a campanha visa clientes que estão baseados principalmente no Reino Unido e na Irlanda.
Redmond está implementando outras medidas de segurança e atualizou os processos e a documentação de verificação de seus parceiros para reduzir o risco de futuros ataques de phishing de consentimento. Além disso, a Unidade de Crimes Digitais da Microsoft está investigando para ver quais outras medidas precisam ser tomadas.
A Proofpoint notificou a Microsoft sobre a campanha duas semanas após detectá-la inicialmente, de acordo com as diretrizes de divulgação responsável.
OAuth é um padrão de autenticação aberta usado pela Microsoft e outros grandes players de tecnologia – incluindo Amazon, Google e Facebook – para permitir que os usuários compartilhem informações sobre suas contas com aplicativos ou sites de terceiros. A Microsoft concede a um editor de aplicativos o status de “editor verificado” quando sua identidade é verificada usando o MCPP (anteriormente conhecido como Microsoft Partner Network).
OAuth foi abusado no passado por cibercriminosos. Em abril de 2022, o GitHub disse que um ataque de roubo de token OAuth permitiu que um criminoso roubasse dados, incluindo cerca de 100.000 usuários npm. Em setembro de 2022, a Microsoft revelado que os pesquisadores investigaram um ataque em que aplicativos OAuth maliciosos foram implantados em inquilinos de nuvem comprometidos e usados para controlar as configurações do Exchange Online e espalhar spam.
Em 2021, Ponto de Prova descrito vários invasores de técnicas usaram para lançar aplicativos OAuth maliciosos que dependiam da plataforma da Microsoft.
Nesse caso, os pesquisadores do fornecedor identificaram três aplicativos maliciosos criados por três editores maliciosos que visavam as mesmas organizações e usavam a mesma infraestrutura. Várias pessoas autorizaram os aplicativos, comprometendo suas empresas que estavam principalmente no Reino Unido. Os usuários incluem funcionários financeiros e de marketing, gerentes e executivos.
Os malfeitores usaram várias táticas para se passar por organizações legítimas, incluindo a exibição de um nome que parecia semelhante, mas ligeiramente diferente de um editor legítimo existente.
“Depois de obter um ID de editor verificado, os agentes de ameaças adicionaram links em cada aplicativo para os ‘termos de serviço’ e ‘declaração de política’ que apontam para o site da organização personificada”, escreveram eles. “Presumivelmente, isso adicionou credibilidade porque os dois links são exibidos no formulário de consentimento do aplicativo. Isso pode ser feito simplesmente adicionando os links na definição do aplicativo, usando o portal do Azure AD (interface da web) ou API.”
Esses editores maliciosos verificados também personificaram aplicativos populares usando ícones que se parecem com os aplicativos legítimos, nomes semelhantes e URLs de “resposta a”.
“Dois dos aplicativos de nuvem maliciosos são chamados de ‘Single Sign On (SSO)’, enquanto o terceiro é chamado de ‘Reunião’”, escreveram os pesquisadores.
“Eles usam uma versão desatualizada do conhecido ícone do Zoom e redirecionam para URLs semelhantes ao Zoom, bem como um domínio genuíno do Zoom, para aumentar sua credibilidade. No entanto, a Zoom Video Communications não foi representada diretamente como um editor, e nós não observei nenhum aplicativo usando o nome Zoom.” ®
.
