网络犯罪分子正在推广恶意的Microsoft OAuth应用,这些应用伪装成Adobe和DocuSign应用,用于分发恶意软件和窃取Microsoft 365账户凭证。
Proofpoint的研究人员发现了这些活动,并在X上的一条推文中将其描述为“高度针对性”的攻击。
此次活动中,恶意OAuth应用伪装成Adobe Drive、Adobe Drive X、Adobe Acrobat和DocuSign等应用。
这些应用请求访问相对不敏感的权限,如“个人资料”、“电子邮件”和“开放ID”,以避免被检测和引起怀疑。
如果用户授予这些权限,攻击者将获得以下访问权限:
– 个人资料:姓名、用户ID、个人资料图片、用户名
– 电子邮件:主要电子邮件地址(无收件箱访问权限)
– 开放ID:允许确认用户身份并获取Microsoft账户详细信息
Proofpoint告诉BleepingComputer,这些钓鱼活动通过被攻陷的电子邮件账户(很可能是Office 365账户)从慈善机构或小公司发送。
这些电子邮件针对美国和欧洲的多个行业,包括政府、医疗保健、供应链和零售业。网络安全公司看到的一些电子邮件使用了请求建议书和合同诱饵,以诱使收件人点击链接。
虽然接受Microsoft OAuth应用所提供的权限仅向攻击者提供了有限的数据,但这些信息仍可能被用于更具针对性的攻击。
此外,一旦用户授予OAuth应用权限,它会将用户重定向到显示Microsoft 365凭证钓鱼表单或分发恶意软件的登录页面。
“受害者在授权O365 OAuth应用后,经历了多次重定向和阶段,最终被呈现恶意软件或钓鱼页面,”Proofpoint告诉BleepingComputer。
“在某些情况下,受害者被重定向到一个‘O365登录’页面(托管在恶意域名上)。在授权后不到一分钟,Proofpoint检测到账户上有可疑的登录活动。”
Proofpoint表示,他们无法确定所分发的恶意软件,但攻击者利用了过去一年变得非常流行的ClickFix社会工程攻击。
用于恶意OAuth活动的ClickFix登录页面
来源:Proofpoint
这些攻击与多年前报道的攻击相似,表明OAuth应用仍然是劫持Microsoft 365账户的有效方式,而无需窃取凭证。
建议用户在批准OAuth应用权限请求时保持谨慎,并始终验证其来源和合法性。
要检查现有的批准权限,可以前往“我的应用”(myapplications.microsoft.com)→“管理你的应用”,并在该页面上撤销任何未识别的应用。
Microsoft 365管理员还可以通过“企业应用”→“同意和权限”→将“用户可以同意应用”设置为“否”,以完全限制用户对第三方OAuth应用请求的权限。
消息来源:Bleeping Computer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容