.
A Microsoft alertou que contas fraudulentas da Microsoft Partner Network (MPN) foram usadas em uma campanha de phishing que apresentava aplicativos falsos que enganavam as vítimas para que concedessem permissões para acessar suas contas de e-mail.
Os invasores usaram as contas MPN fraudulentas para registrar versões falsas de aplicativos que pareciam legítimos, como “Single Sign On (SSO)” e “Meeting”, que eram enfeitados com indicadores visuais convincentes, incluindo o ícone de vídeo mais antigo do Zoom e URLs, de acordo com a empresa de segurança Proofpoint.
Também: Dicas de segurança de Wi-Fi público: Proteja-se contra malware e ameaças de segurança
Os invasores primeiro se fizeram passar por empresas legítimas para se inscrever no Microsoft Cloud Partner Program ou MCCP (anteriormente conhecido como Microsoft Partner Network ou MPN) e, em seguida, usaram as contas para adicionar um editor verificado aos registros do aplicativo OAuth, que eles criaram no Azure Active Directory ( DE ANÚNCIOS).
A Microsoft classifica o ataque como “phishing de consentimento” porque os invasores usam os aplicativos falsos e os prompts de consentimento OAuth baseados no Azure AD (foto abaixo) para enganar os alvos para conceder permissões ao aplicativo, por exemplo, para ler e-mails, acessar contatos e assim por diante em, potencialmente por um ano inteiro. Além disso, com o status de editor verificado, o nome do editor ganha um selo azul ‘verificado’ que indica que a Microsoft verificou o editor do aplicativo.
A Microsoft diz em um post de blog que a campanha de phishing visava “um subconjunto de clientes baseados principalmente no Reino Unido e na Irlanda”. Ele também desativou os aplicativos fraudulentos e notificou os clientes afetados.
A Microsoft viu os incidentes de phishing de consentimento aumentarem constantemente nos últimos anos, onde a técnica foi usada para atingir clientes do Office 365. Uma vez concedidos pela vítima, os tokens de permissão OAuth são úteis porque o invasor não exige a senha da conta do alvo, mas ainda pode acessar dados confidenciais. A Microsoft atualizou recentemente seu documento sobre o estilo de ataque.
O Proofpoint detectou os aplicativos OAuth de terceiros maliciosos em 6 de dezembro e informou a Microsoft em 20 de dezembro. Ele observa que a campanha de phishing terminou em 27 de dezembro. A Microsoft tomou conhecimento da campanha de phishing de consentimento em 15 de dezembro.
O Proofpoint destaca o phishing de consentimento para permissões delegadas OAuth como uma ferramenta poderosa que pode permitir que o aplicativo malicioso aja em nome do usuário – acessando recursos de caixa de correio, calendário e convites de reunião vinculados a contas de usuário comprometidas.
“O token concedido (token de atualização) tem uma longa duração de expiração de mais de um ano na maioria dos casos. Isso deu aos agentes de ameaças acesso aos dados da conta comprometida e a capacidade de alavancar a conta comprometida da Microsoft em BEC subsequente ou outros ataques”, observa. .
Também: A equipe de segurança cibernética está lutando. Veja como apoiá-los melhor
A Microsoft determinou que o objetivo principal dessa campanha era exfiltrar o e-mail de uma organização-alvo.
“A investigação da Microsoft determinou que, uma vez que o consentimento foi concedido pelos usuários vítimas, os agentes de ameaças usaram aplicativos OAuth de terceiros como uma técnica/vetor principal para exfiltrar e-mail. Todos os clientes afetados cujos usuários concederam consentimento a esses aplicativos foram notificados”, observa.
Então, como os agentes de ameaças passaram pelas verificações da Microsoft para MPN/MCPP? De acordo com a Proofpoint, os atores exibiam um nome em seus aplicativos fraudulentos que parecia o nome de um editor legítimo existente. Enquanto isso, eles ocultaram o nome real do “editor verificado”, que era diferente do nome exibido. A Proofpoint observa que, em dois casos, os atores obtiveram a verificação apenas um dia após a criação do aplicativo malicioso.
Depois que o invasor obteve um ID de editor verificado, ele também adicionou links em cada aplicativo para os “termos de serviço” e “declaração de política” do site da organização personificada. No passado, as campanhas de phishing de consentimento comprometeram os editores verificados do MPN existentes para abusar do OAuth. O novo método aumenta a credibilidade dos aplicativos OAuth maliciosos.
A Microsoft diz que “implementou várias medidas de segurança adicionais para melhorar o processo de verificação do MCPP e diminuir o risco de comportamento fraudulento semelhante no futuro”.
.
