22 de novembro de 2024

Atores de ameaças abusam do status de editor verificado da Microsoft

2 de fevereiro de 2023

Os pesquisadores da Proofpoint descobriram uma campanha de aplicativo OAuth maliciosa que aproveitou o status de “editor verificado” da Microsoft para atender a alguns de seus requisitos de distribuição de aplicativo OAuth.

Esses aplicativos maliciosos receberam amplas permissões delegadas, como a capacidade de ler e-mails, alterar as configurações da caixa de correio e acessar arquivos e dados vinculados à conta de um usuário.

Mergulhando nos detalhes

campanha de ataque indica que os usuários provavelmente foram induzidos a dar consentimento quando o aplicativo OAuth solicitou acesso aos dados por meio da conta do usuário.

  • Os pesquisadores observaram três aplicativos maliciosos publicados por três desenvolvedores distintos, direcionados às mesmas organizações e vinculados à mesma infraestrutura maliciosa.
  • As vítimas parecem ser principalmente organizações e indivíduos baseados no Reino Unido, incluindo pessoal de marketing e financeiro e usuários de alto nível. 

Por que isso importa

  • Depois que o consentimento é concedido, os invasores podem acessar e manipular recursos de caixa de correio e convites de reunião e calendário.
  • Como o token concedido tem prazo de validade de mais de um ano, os agentes da ameaça conseguiram acessar os dados da conta comprometida. 
  • Além disso, poderia ter permitido que eles usassem a conta comprometida da Microsoft em ataques BEC posteriores.  
  • Além do exposto acima, as contas comprometidas podem levar ao abuso da marca, o que pode ser um desafio para a organização vítima. 

Outros incidentes envolvendo produtos da Microsoft

  • Alguns dias atrás, os pesquisadores descobriram e-mails malspam representando notificações de remessa da DHL, formulários de remessa ACH, faturas, documentos de remessa e desenhos mecânicos com um anexo do Microsoft OneNote. Os hackers inseriram anexos VBS maliciosos em um notebook que lançou o malware. 
  • Em dezembro de 2022, o agente da ameaça UNC4166 lançou ataques à cadeia de suprimentos de engenharia social contra o governo ucraniano. Ele aproveitou arquivos ISO trojanizados fingindo ser instaladores legítimos do Windows 10.

A linha de fundo

A Proofpoint recomenda cautela ao conceder acesso a aplicativos OAuth de terceiros, mesmo que tenham verificação da Microsoft. Além disso, é aconselhável proteger o ambiente de nuvem tomando medidas proativas e garantindo que as soluções de segurança possam detectar tentativas de representação por aplicativos OAuth maliciosos e notificar a equipe de segurança imediatamente para interromper e lidar com os riscos.

Fonte: https://cyware.com/

Matérias Relacionadas

Criminosos cibernéticos desconhecidos exploram falha no Roundcube Webmail em ataque de phishing

21 de outubro de 2024

CVE-2024-8884 (CVSS 9.8): Vulnerabilidade crítica expõe PCs industriais da Schneider Electric a possíveis ataques

11 de outubro de 2024

Novo Carregador MisterioLNK Passa Despercebido por Ferramentas de Segurança, Avisa Cyble

11 de outubro de 2024

Veja mais..

Segurança do Grafana: Correção Crítica para a Vulnerabilidade CVE-2024-9264

24 de outubro de 2024

Fortinet Confirma Ataque Zero-Day Focado em Sistemas FortiManager

24 de outubro de 2024

Falsos erros de conferência no Google Meet distribuem malware para roubo de informações

21 de outubro de 2024

Criminosos cibernéticos desconhecidos exploram falha no Roundcube Webmail em ataque de phishing

21 de outubro de 2024

Pesquisadores Chineses Quebram Criptografia RSA com Computação Quântica

17 de outubro de 2024