تقوم مجرمو Cybercriminals بترويج تطبيقات Microsoft Oauth الخبيثة التي تنكر كطبقات Adobe و DocuSign لتقديم البرامج الضارة وسرقة بيانات اعتماد حسابات Microsoft 365.
تم اكتشاف الحملات من قبل الباحثين Proofpoint ، الذين وصفوها بأنها “highly targeted”في”https://x.com/threatinsight/status/1899869276053635553″ الهدف=”_blank” rel=”nofollow noopener”> الموضوع على x.
تنتحل تطبيقات OAuth الضارة في هذه الحملة Adobe Drive و Adobe Drive X و Adobe Acrobat و Docusign.
المصدر: Proofpoint
تطلب هذه التطبيقات الوصول إلى أذونات أقل حساسية مثل “الملف الشخصي” و “البريد الإلكتروني” و “OpenID” ، لتجنب الكشف والشك.
إذا تم منح هذه الأذونات ، يتم منح المهاجم الوصول إلى:
- حساب تعريفي – الاسم الكامل ، معرف المستخدم ، صورة الملف الشخصي ، اسم المستخدم
- بريد إلكتروني – عنوان البريد الإلكتروني الأساسي (بدون وصول صندوق الوارد)
- OpenID – يسمح بتأكيد هوية المستخدم واسترجاع تفاصيل حساب Microsoft
أخبر Proofpoint BleepingComputer أنه تم إرسال حملات التصيد من الجمعيات الخيرية أو الشركات الصغيرة باستخدام حسابات البريد الإلكتروني المعرضة للخطر ، على الأرجح حسابات Office 365.
استهدفت رسائل البريد الإلكتروني العديد من الصناعات الأمريكية والأوروبية ، بما في ذلك الحكومة والرعاية الصحية وسلسلة التوريد وتجارة التجزئة. تستخدم بعض رسائل البريد الإلكتروني التي تراها شركة الأمن السيبراني RFPs وسحر العقد لخداع المستلمين في فتح الروابط.
في حين أن امتيازات قبول تطبيق Microsoft Oauth لم توفر بيانات محدودة للمهاجمين فقط ، إلا أنه لا يزال من الممكن استخدام المعلومات لمزيد من الهجمات المستهدفة.
علاوة على ذلك ، بمجرد إعطاء الإذن لتطبيق OAUTH ، فإنه يعيد توجيه المستخدمين إلى صفحات المقصودة التي تعرض نماذج التصيد إلى بيانات الاعتماد Microsoft 365 أو البرامج الضارة الموزعة.
“The victims went through multiple redirections and stages after authorizing O365 OAuth app, until presented with the malware or the phishing page behind,” قال Proofpoint BleepingComputer.
“In some cases, the victims were redirected to an “O365 تسجيل الدخول” page (hosted on malicious domain). In less than a minute after the authorization, Proofpoint detected suspicious login activity to the account.”
قال Proofpoint إنهم لا يستطيعون تحديد البرامج الضارة التي يتم توزيعها ، لكن المهاجمين استخدموا”https://www.bleepingcomputer.com/tag/clickfix/” الهدف=”_blank” rel=”nofollow noopener”> هجوم الهندسة الاجتماعية ClickFix، والتي أصبحت شعبية جدا على مدار العام الماضي.
المصدر: Proofpoint
الهجمات تشبه تلك”https://www.bleepingcomputer.com/news/security/phishing-attack-hijacks-office-365-accounts-using-oauth-apps/” الهدف=”_blank” rel=”nofollow noopener”> ذكرت منذ سنوات، مع الإشارة إلى أن تطبيقات OAUTH تظل وسيلة فعالة لاختطاف حسابات Microsoft 365 دون سرقة بيانات الاعتماد.
يُنصح المستخدمون بالتوخي الحذر من طلبات إذن تطبيق OAUTH والتحقق دائمًا من مصدرهم وشرعيتهم قبل الموافقة عليها.
للتحقق من الموافقات الحالية ، انتقل إلى “تطبيقاتي” (myapplications.microsoft.com) → “إدارة تطبيقاتك” → وإلغاء أي تطبيقات غير معترف بها على تلك الشاشة.
يمكن لمسؤولي Microsoft 365 أيضًا الحد من إذن المستخدمين بالموافقة على طلبات تطبيق OAUTH من الطرف الثالث بالكامل من خلال “تطبيقات المؤسسة” → “الموافقة والأذونات” يمكن للمستخدمين “تعيين” الموافقة على التطبيقات “إلى” رقم “