Applicazioni OAuth fasulle imitano Adobe e DocuSign per rubare dati sensibili dagli account Microsoft 365 e diffondere malware tramite phishing.
Autore: Redazione SecurityOpenLab
Da tempo gli account Microsoft 365 sono nel mirino dei cyber criminali, che studiano raggiri sempre nuovi per ottenere l'accesso non autorizzato agli account degli utenti. I ricercatori di Proofpoint si sono recentemente concentrati su due campagne malevole che sfruttano applicazioni OAuth fasulle, mascherate da servizi legittimi.
In particolare, le applicazioni malevole in questione imitano servizi noti come Adobe Drive, Adobe Drive X, Adobe Acrobat e DocuSign richiedendo permessi apparentemente innocui, come l'accesso al profilo utente, all'indirizzo email e alle informazioni di base dell'account Microsoft. Tuttavia, una volta ottenuta l’autorizzazione, gli attaccanti accedono a informazioni personali sensibili, compresi il nome completo, l’ID utente, la foto del profilo e l’indirizzo email principale. Questi dati vengono poi usati successivamente per attacchi di phishing o la distribuzione di malware.
La catena di attacco è classica: si parte con email di phishing spedite da account compromessi appartenenti a enti di beneficenza o piccole aziende (probabilmente si tratta di account Office 365 già violati in passato). I destinatari che abboccano vengono reindirizzati a una pagina di autorizzazione OAuth fasulla, con una interfaccia molto simile a quella legittima, in cui viene chiesto all’utente di concedere i permessi richiesti.
Ecco perché la campagna segnalata da Proofpoint è un importante monito per ricordare l’importanza di una vigilanza costante nella concessione delle autorizzazioni delle applicazioni. Le aziende devono implementare controlli rigorosi sulle applicazioni OAuth autorizzate all'interno dei propri ambienti, devono periodicamente revisionare le applicazioni connesse, revocare le autorizzazioni non necessarie ed educare gli utenti sui rischi associati all'autorizzazione delle applicazioni di terze parti.
Inoltre, i ricercatori Proofpoint ricordano che attivare soluzioni di sicurezza avanzate può permettere il monitoraggio proattivo delle attività sospette legate alle applicazioni OAuth, così da mitigare il rischio di compromissione degli account.