ATAQUES

Atores de ameaças abusam do status de editor verificado da Microsoft

Os pesquisadores da Proofpoint descobriram uma campanha de aplicativo OAuth maliciosa que aproveitou o status de "editor verificado" da Microsoft para atender a alguns de seus requisitos de distribuição de aplicativo OAuth.

Compartilhe

Esses aplicativos maliciosos receberam amplas permissões delegadas, como a capacidade de ler e-mails, alterar as configurações da caixa de correio e acessar arquivos e dados vinculados à conta de um usuário.

Mergulhando nos detalhes

A campanha de ataque indica que os usuários provavelmente foram induzidos a dar consentimento quando o aplicativo OAuth solicitou acesso aos dados por meio da conta do usuário.

Os pesquisadores observaram três aplicativos maliciosos publicados por três desenvolvedores distintos, direcionados às mesmas organizações e vinculados à mesma infraestrutura maliciosa.
As vítimas parecem ser principalmente organizações e indivíduos baseados no Reino Unido, incluindo pessoal de marketing e financeiro e usuários de alto nível.

Por que isso importa

Depois que o consentimento é concedido, os invasores podem acessar e manipular recursos de caixa de correio e convites de reunião e calendário.
Como o token concedido tem prazo de validade de mais de um ano, os agentes da ameaça conseguiram acessar os dados da conta comprometida.
Além disso, poderia ter permitido que eles usassem a conta comprometida da Microsoft em ataques BEC posteriores.
Além do exposto acima, as contas comprometidas podem levar ao abuso da marca, o que pode ser um desafio para a organização vítima.

Outros incidentes envolvendo produtos da Microsoft

Alguns dias atrás, os pesquisadores descobriram e-mails malspam representando notificações de remessa DHL, formulários de remessa ACH, faturas, documentos de remessa e desenhos mecânicos com um do Microsoft OneNote anexo . Os hackers inseriram anexos VBS maliciosos em um notebook que lançou o malware.
Em dezembro de 2022, o agente da ameaça UNC4166 lançou ataques à cadeia de suprimentos de engenharia social contra o governo ucraniano. Ele aproveitou arquivos ISO trojanizados fingindo ser instaladores legítimos do Windows 10 .

A linha de fundo

A Proofpoint recomenda cautela ao conceder acesso a aplicativos OAuth de terceiros, mesmo que tenham verificação da Microsoft. Além disso, é aconselhável proteger o ambiente de nuvem tomando medidas proativas e garantindo que as soluções de segurança possam detectar tentativas de representação por aplicativos OAuth maliciosos e notificar a equipe de segurança imediatamente para interromper e lidar com os riscos.