17/03/25
Исследователи из Proofpoint обнаружили кампанию, в которой злоумышленники продвигают вредоносные OAuth-приложения, выдавая их за официальные сервисы Adobe и DocuSign. Их цель — похищение учётных данных Microsoft 365 и распространение зловредного ПО, пишут в Securitylab.
Атака строится на использовании поддельных приложений, таких как Adobe Drive, Adobe Drive X, Adobe Acrobat и DocuSign. Эти приложения запрашивают минимальный объём разрешений — доступ к профилю, адресу электронной почты и идентификатору openid. Это позволяет избежать подозрений со стороны пользователей.
При предоставлении разрешений злоумышленники получают доступ к имени, уникальному идентификатору пользователя, фото профиля, имени пользователя и основному адресу электронной почты. В дальнейшем эти данные могут использоваться для таргетированных атак или социальной инженерии.
Фишинговые кампании рассылались со взломанных учётных записей небольших компаний и благотворительных организаций, преимущественно работающих в среде Office 365. Основными целями стали госучреждения, медицинские организации, логистические компании и розничная торговля в США и Европе. В письмах использовались темы, связанные с тендерами и контрактами, чтобы убедить жертв перейти по вредоносным ссылкам.
После того как пользователь разрешает доступ OAuth-приложению, его перенаправляют на страницы, имитирующие вход в Microsoft 365, или загружают вредоносное ПО. Согласно данным Proofpoint, сразу после авторизации злоумышленники инициировали подозрительную активность в учётной записи.
Исследователи также отметили использование в данных атаках социальной инженерии и метода ClickFix. Хотя конкретный вредоносный код, распространяемый через эти кампании, пока не установлен, методы атак схожи с предыдущими злоупотреблениями OAuth-приложениями.
Эта атака во многом напоминает недавние инциденты, где злоумышленники использовали OAuth-приложения для компрометации GitHub-аккаунтов разработчиков и взламывали сторонние сервисы для ClickFix-атак на клиентов автодилеров . В обоих случаях ключевую роль играла социальная инженерия, заставляющая жертв предоставлять доступ к своим данным, а также использование доверенных платформ для распространения вредоносного кода.
Чтобы защититься от подобных атак, пользователям рекомендуется тщательно проверять запрашиваемые OAuth-разрешения и не подтверждать доступ для неизвестных приложений. Проверить уже одобренные приложения можно в разделе «Мои приложения» (myapplications.microsoft.com), где можно отозвать подозрительные разрешения. Администраторам Microsoft 365 советуют ограничить возможность пользователей самостоятельно одобрять доступ OAuth-приложений через настройки корпоративных приложений.
