Da tempo gli account Microsoft 365 sono nel mirino dei cyber criminali, che studiano raggiri sempre nuovi per ottenere l'accesso non autorizzato agli account degli utenti.​ I ricercatori di Proofpoint si sono recentemente concentrati su due campagne malevole che sfruttano applicazioni OAuth fasulle, mascherate da servizi legittimi.

In particolare, le applicazioni malevole in questione imitano servizi noti come Adobe Drive, Adobe Drive X, Adobe Acrobat e DocuSign richiedendo permessi apparentemente innocui, come l'accesso al profilo utente, all'indirizzo email e alle informazioni di base dell'account Microsoft. Tuttavia, una volta ottenuta l’autorizzazione, gli attaccanti accedono a informazioni personali sensibili, compresi il nome completo, l’ID utente, la foto del profilo e l’indirizzo email principale. Questi dati vengono poi usati successivamente per attacchi di phishing o la distribuzione di malware.​

La catena di attacco è classica: si parte con email di phishing spedite da account compromessi appartenenti a enti di beneficenza o piccole aziende (probabilmente si tratta di account Office 365 già violati in passato). I destinatari che abboccano vengono reindirizzati a una pagina di autorizzazione OAuth fasulla, con una interfaccia molto simile a quella legittima, in cui viene chiesto all’utente di concedere i permessi richiesti.​

Non siamo di fronte a un inedito perché i tentativi di abuso del protocollo OAuth sono noti da tempo: in passato sono stati osservati attacchi simili che sfruttavano applicazioni OAuth malevole per accedere a servizi cloud come Microsoft 365 e Google Workspace. In tutti i casi questo modo di procedere denota una tecnica sofisticata per l’elusione delle misure di sicurezza e quindi una preparazione tecnica di un certo livello da parte dei cyber criminali.

Ecco perché la campagna segnalata da Proofpoint è un importante monito per ricordare l’importanza di una vigilanza costante nella concessione delle autorizzazioni delle applicazioni.​ Le aziende devono implementare controlli rigorosi sulle applicazioni OAuth autorizzate all'interno dei propri ambienti, devono periodicamente revisionare le applicazioni connesse, revocare le autorizzazioni non necessarie ed educare gli utenti sui rischi associati all'autorizzazione delle applicazioni di terze parti.

Inoltre, i ricercatori Proofpoint ricordano che attivare soluzioni di sicurezza avanzate può permettere il monitoraggio proattivo delle attività sospette legate alle applicazioni OAuth, così da mitigare il rischio di compromissione degli account.​