20 de abril de 2024

Atores de ameaças abusam do status de editor verificado da Microsoft

2 de fevereiro de 2023

Os pesquisadores da Proofpoint descobriram uma campanha de aplicativo OAuth maliciosa que aproveitou o status de “editor verificado” da Microsoft para atender a alguns de seus requisitos de distribuição de aplicativo OAuth.

Esses aplicativos maliciosos receberam amplas permissões delegadas, como a capacidade de ler e-mails, alterar as configurações da caixa de correio e acessar arquivos e dados vinculados à conta de um usuário.

Mergulhando nos detalhes

campanha de ataque indica que os usuários provavelmente foram induzidos a dar consentimento quando o aplicativo OAuth solicitou acesso aos dados por meio da conta do usuário.

  • Os pesquisadores observaram três aplicativos maliciosos publicados por três desenvolvedores distintos, direcionados às mesmas organizações e vinculados à mesma infraestrutura maliciosa.
  • As vítimas parecem ser principalmente organizações e indivíduos baseados no Reino Unido, incluindo pessoal de marketing e financeiro e usuários de alto nível. 

Por que isso importa

  • Depois que o consentimento é concedido, os invasores podem acessar e manipular recursos de caixa de correio e convites de reunião e calendário.
  • Como o token concedido tem prazo de validade de mais de um ano, os agentes da ameaça conseguiram acessar os dados da conta comprometida. 
  • Além disso, poderia ter permitido que eles usassem a conta comprometida da Microsoft em ataques BEC posteriores.  
  • Além do exposto acima, as contas comprometidas podem levar ao abuso da marca, o que pode ser um desafio para a organização vítima. 

Outros incidentes envolvendo produtos da Microsoft

  • Alguns dias atrás, os pesquisadores descobriram e-mails malspam representando notificações de remessa da DHL, formulários de remessa ACH, faturas, documentos de remessa e desenhos mecânicos com um anexo do Microsoft OneNote. Os hackers inseriram anexos VBS maliciosos em um notebook que lançou o malware. 
  • Em dezembro de 2022, o agente da ameaça UNC4166 lançou ataques à cadeia de suprimentos de engenharia social contra o governo ucraniano. Ele aproveitou arquivos ISO trojanizados fingindo ser instaladores legítimos do Windows 10.

A linha de fundo

A Proofpoint recomenda cautela ao conceder acesso a aplicativos OAuth de terceiros, mesmo que tenham verificação da Microsoft. Além disso, é aconselhável proteger o ambiente de nuvem tomando medidas proativas e garantindo que as soluções de segurança possam detectar tentativas de representação por aplicativos OAuth maliciosos e notificar a equipe de segurança imediatamente para interromper e lidar com os riscos.

Fonte: https://cyware.com/

Matérias Relacionadas

Ex-engenheiro de segurança condenado a 3 anos de prisão por roubo de criptomoedas no valor de US$ 12,3 milhões

15 de abril de 2024

FatalRAT tem como alvo usuários de criptomoeda com técnicas de carregamento lateral de DLL

15 de abril de 2024

Novo ataque Spectre v2 impacta sistemas Linux em CPUs Intel

12 de abril de 2024

Veja mais..

Vendas na Dark Web impulsionam grande aumento em ataques de credenciais

19 de abril de 2024

Falso ‘cheater’ atrai jogadores para espalhar malware infostealer

19 de abril de 2024

Pesquisadores realizam Jailbreak de um dispositivo Cisco para executar DOOM

18 de abril de 2024

Ameaças internas(insiders) aumentam 14% anualmente

18 de abril de 2024

Possíveis hackers chineses usam OpenMetadata para criptominar

18 de abril de 2024