- يستخدم المجرمون عناوين البريد الإلكتروني المسروقة لتوزيع تطبيقات OAuth الضارة
- هذه التطبيقات تسرق البيانات الحساسة وتعيد توجيه الأشخاص إلى صفحات التصيد
- الصفحات تسرق بيانات اعتماد تسجيل الدخول وتقديم البرامج الضارة
يقوم المتسللون بتخليص تطبيقات السحابة والإنتاجية الشائعة لسرقة الناس”inline-link” HREF=”https://www.techradar.com/tag/microsoft” البيانات-Auto-Tag-Linker=”true” البيانات قبل أن تتولى المحمل=”https://www.techradar.com/tag/microsoft”> Microsoft 365 بيانات اعتماد تسجيل الدخول وتسليمها”inline-link” HREF=”https://www.techradar.com/best/best-malware-removal” الهدف=”_blank” البيانات قبل أن تتولى المحمل=”https://www.techradar.com/best/best-malware-removal”> البرامج الضارة، حذر الخبراء.
قام الباحثون في الأمن السيبراني بتفصيل النتائج التي توصلوا إليها في خيط X ، وكشفوا عن مجرمي الإنترنت المجهولين الذين استخدموا حسابات Office 365 المعرضة للخطر وعناوين البريد الإلكتروني التي تنتمي إلى المنظمات الخيرية أو الشركات الصغيرة لإطلاق الهجمات.
من غير الواضح ما هي محتويات رسائل البريد الإلكتروني ، ولكن على ما يبدو ، فإن الهدف هو الحصول على الضحايا لتثبيت تطبيقات Microsoft Oauth الضارة التي تتظاهر بأنها”inline-link” HREF=”https://www.techradar.com/tag/adobe” البيانات-Auto-Tag-Linker=”true” البيانات قبل أن تتولى المحمل=”https://www.techradar.com/tag/adobe”> Adobe محرك الأقراص ، Adobe Drive X ، Adobe Acrobat ، و DocuSign.
“Highly targeted” الهجمات
يُطلب من أولئك الذين يقومون بتثبيت هذه التطبيقات منح أذونات محددة: “الملف الشخصي” ، “البريد الإلكتروني” ، و “OpenId”. وحدها ، هذه ليست مدمرة ، لأنها تمنح فقط الوصول إلى اسم المستخدم ومعرف المستخدم وصورة الملف الشخصي واسم المستخدم وعنوان البريد الإلكتروني الأساسي (بدون وصول ، مجرد معلومات حول الحساب). يتيح إذن “OpenID” للمهاجمين تأكيد هوية الضحية واسترداد تفاصيل حساب Microsoft الخاصة بهم.
وقال الباحثون إنه على الرغم من أن هذه ليست كافية لسرقة البيانات أو تثبيت البرامج الضارة ، إلا أنها يمكن استخدامها في هجمات التصيد الأكثر تخصيصًا. وقال Proofpoint إن الحملة نفسها كانت “مستهدفة للغاية” ، حيث تلاحق المنظمات في صناعات مختلفة في جميع أنحاء الولايات المتحدة وأوروبا ، بما في ذلك الحكومة والرعاية الصحية وسلسلة التوريد وتجارة التجزئة.
بعد منح هذه الأذونات ، تعيد التطبيقات توجيه الضحايا إلى صفحات الهبوط الخداع ، وجمع بيانات اعتماد تسجيل الدخول ، وتوزيع البرامج الضارة. لم يتمكن ProofPoint من تأكيد سلالة البرامج الضارة التي يتم توزيعها بهذه الطريقة ، لكنها شددت على أن المهاجمين استخدموا هجوم ClickFix للهندسة الاجتماعية.
في الوقت الحاضر ، نمت ClickFix شائعًا جدًا. يبدأ الأمر بملفقة منبثقة للمتصفح ، وإبلاغ الضحية أنه لا يمكنهم عرض محتويات صفحة الويب ما لم يتم تحديث متصفحهم (أو أي شيء مشابه). يشارك المنبثقة خطوات حول كيفية “إصلاح” المشكلة ، وخداع الضحايا لتنزيل البرامج الضارة بدلاً من ذلك.
اشترك في النشرة الإخبارية TechRadar Pro للحصول على جميع الأخبار والرأي والميزات والإرشادات التي يحتاجها عملك للنجاح!
عبر BleepingComputer
قد تعجبك أيضًا
- عيب في نظام Google Oauth يعرض ملايين المستخدمين عبر الحسابات المهجورة
- لقد قمنا بتجميع”https://www.techradar.com/best/password-manager” الهدف=”_blank” البيانات قبل أن تتولى المحمل=”https://www.techradar.com/best/password-manager”> أفضل مديري كلمة المرور
- ألق نظرة على دليلنا إلى”https://www.techradar.com/best/best-authenticator-apps” الهدف=”_blank” البيانات قبل أن تتولى المحمل=”https://www.techradar.com/best/best-authenticator-apps”> أفضل تطبيق مصادقة