Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 17-18 июня на Форуме ITSEC 2025
Регистрируйтесь и участвуйте!

Поддельные Adobe и DocuSign крадут данные Microsoft 365

17/03/25

images - 2025-03-17T132646.775

Исследователи из Proofpoint обнаружили кампанию, в которой злоумышленники продвигают вредоносные OAuth-приложения, выдавая их за официальные сервисы Adobe и DocuSign. Их цель — похищение учётных данных Microsoft 365 и распространение зловредного ПО, пишут в Securitylab.

Атака строится на использовании поддельных приложений, таких как Adobe Drive, Adobe Drive X, Adobe Acrobat и DocuSign. Эти приложения запрашивают минимальный объём разрешений — доступ к профилю, адресу электронной почты и идентификатору openid. Это позволяет избежать подозрений со стороны пользователей.

При предоставлении разрешений злоумышленники получают доступ к имени, уникальному идентификатору пользователя, фото профиля, имени пользователя и основному адресу электронной почты. В дальнейшем эти данные могут использоваться для таргетированных атак или социальной инженерии.

Фишинговые кампании рассылались со взломанных учётных записей небольших компаний и благотворительных организаций, преимущественно работающих в среде Office 365. Основными целями стали госучреждения, медицинские организации, логистические компании и розничная торговля в США и Европе. В письмах использовались темы, связанные с тендерами и контрактами, чтобы убедить жертв перейти по вредоносным ссылкам.

После того как пользователь разрешает доступ OAuth-приложению, его перенаправляют на страницы, имитирующие вход в Microsoft 365, или загружают вредоносное ПО. Согласно данным Proofpoint, сразу после авторизации злоумышленники инициировали подозрительную активность в учётной записи.

Исследователи также отметили использование в данных атаках социальной инженерии и метода ClickFix. Хотя конкретный вредоносный код, распространяемый через эти кампании, пока не установлен, методы атак схожи с предыдущими злоупотреблениями OAuth-приложениями.

Эта атака во многом напоминает недавние инциденты, где злоумышленники использовали OAuth-приложения для компрометации GitHub-аккаунтов разработчиков и взламывали сторонние сервисы для ClickFix-атак на клиентов автодилеров . В обоих случаях ключевую роль играла социальная инженерия, заставляющая жертв предоставлять доступ к своим данным, а также использование доверенных платформ для распространения вредоносного кода.

Чтобы защититься от подобных атак, пользователям рекомендуется тщательно проверять запрашиваемые OAuth-разрешения и не подтверждать доступ для неизвестных приложений. Проверить уже одобренные приложения можно в разделе «Мои приложения» (myapplications.microsoft.com), где можно отозвать подозрительные разрешения. Администраторам Microsoft 365 советуют ограничить возможность пользователей самостоятельно одобрять доступ OAuth-приложений через настройки корпоративных приложений.

Темы:УгрозыProofpointAdobeхищение данныхMicrosoft 365
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 18 июня 2025 →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 17-18 июня →
Свежие новостиСвежие новости

Еще темы...

More...