Célzott támadások, OAuth kihasználás

Editors' Pick

Kihasználják a Microsoft OAuth alkalmazásokat, amelyek az Adobe és a DocuSign alkalmazásoknak álcázzák magukat, hogy malware-ket terjesszenek és ellopják a Microsoft 365 fiókok hozzáférési adatait.

A támadók olyan OAuth alkalmazásokat hoznak létre, amelyek az Adobe Drive, Adobe Drive X, Adobe Acrobat és DocuSign alkalmazásoknak tűnnek. A támadók olyan OAuth alkalmazásokat hoznak létre, amelyek az Adobe Drive, Adobe Drive X, Adobe Acrobat és DocuSign alkalmazásoknak tűnnek. Az engedélyek megadása után a támadók hozzáférhetnek a felhasználó teljes nevéhez, felhasználói azonosítójához, profilképéhez, felhasználónevéhez és elsődleges email címéhez. Az openid engedély lehetővé teszi a felhasználó személyazonosságának megerősítését és a Microsoft fiók részleteinek lekérését.​

A Proofpoint kutatói szerint ezek a kampányok nagyon célzottak, és kompromittált Office 365 fiókokból, például jótékonysági szervezetek vagy kisvállalkozások email címeiről küldik az adathalász emaileket.​ A támadások az Egyesült Államokban és Európában több iparágat is érintenek, így a kormányzati, egészségügyi, ellátási lánc és kiskereskedelmi szektort.​ Az emailek gyakran ajánlatkéréseket és szerződéseket használnak csaliként, hogy rávegyék a címzetteket a linkek megnyitására.​

Az engedélyek megadása után a felhasználókat adathalász oldalakra irányítják, ahol a Microsoft 365 hitelesítő adataikat próbálják megszerezni, vagy rosszindulatú programokat töltenek le a rendszerükre.​ A támadók a ClickFix nevű pszichológiai megtévesztéses támadást alkalmazzák, amely az elmúlt évben egyre népszerűbbé vált.​

FORRÁS