Les cybercriminels font la promotion d’applications malveillantes Microsoft OAuth qui se font passer pour des applications Adobe et DocuSign pour diffuser des logiciels malveillants et voler les informations d’identification des comptes Microsoft 365.
Les campagnes ont été découvertes par des chercheurs de Proofpoint, qui les ont qualifiées de « hautement ciblées » dans un fil sur X.
Les applications OAuth malveillantes de cette campagne se font passer pour Adobe Drive, Adobe Drive X, Adobe Acrobat et DocuSign.
Ces applications demandent l’accès à des autorisations moins sensibles telles que « profil », « e-mail » et « OpenID », pour éviter la détection et la suspicion.
Si ces autorisations sont accordées, l’attaquant a accès à:
- profil-Nom complet, ID utilisateur, Photo de profil, Nom d’utilisateur
- e-mail-adresse e-mail principale (pas d’accès à la boîte de réception)
- OpenID – permet de confirmer l’identité de l’utilisateur et de récupérer les détails du compte Microsoft
Proofpoint a déclaré à Breachtrace que les campagnes de phishing avaient été envoyées par des organisations caritatives ou de petites entreprises utilisant des comptes de messagerie compromis, probablement des comptes Office 365.
Les courriels ciblaient plusieurs industries américaines et européennes, notamment le gouvernement, les soins de santé, la chaîne d’approvisionnement et la vente au détail. Certains des courriels consultés par la firme de cybersécurité utilisent des appels d’offres et des leurres contractuels pour inciter les destinataires à ouvrir les liens.
Alors que les privilèges d’acceptation de l’application Microsoft OAuth ne fournissaient que des données limitées aux attaquants, les informations pouvaient toujours être utilisées pour des attaques plus ciblées.
De plus, une fois l’autorisation accordée à l’application OAuth, elle redirige les utilisateurs vers des pages de destination qui affichent des formulaires de phishing vers des informations d’identification Microsoft 365 ou des logiciels malveillants distribués.
« Les victimes sont passées par plusieurs redirections et étapes après avoir autorisé l’application OAuth O365, jusqu’à ce qu’elles soient présentées avec le logiciel malveillant ou la page de phishing derrière », a déclaré Proofpoint à Breachtrace.
« Dans certains cas, les victimes ont été redirigées vers une page de « connexion O365″ (hébergée sur un domaine malveillant). Moins d’une minute après l’autorisation, Proofpoint a détecté une activité de connexion suspecte au compte. »
Proofpoint a déclaré qu’ils ne pouvaient pas déterminer le logiciel malveillant distribué, mais les attaquants ont utilisé l’attaque d’ingénierie sociale ClickFix, qui est devenue très populaire au cours de l’année écoulée.
Les attaques sont similaires à celles signalées il y a des années, indiquant que les applications OAuth restent un moyen efficace de détourner les comptes Microsoft 365 sans voler les informations d’identification.
Il est conseillé aux utilisateurs d’être prudents avec les demandes d’autorisation d’application OAuth et de toujours vérifier leur source et leur légitimité avant de les approuver.
Pour vérifier les approbations existantes, accédez à « Mes applications » (myapplications.microsoft.com) → « Gérez vos applications » → et révoquez toutes les applications non reconnues sur cet écran.
Les administrateurs Microsoft 365 peuvent également limiter l’autorisation des utilisateurs à consentir aux demandes d’applications OAuth tierces entièrement via « Applications d’entreprise » → « Consentement et autorisations « → définissez » Les utilisateurs peuvent consentir aux applications » sur » Non.’