Mardi, Microsoft a annoncé avoir pris des mesures pour désactiver les faux comptes Microsoft Partner Network (MPN) qui avaient été utilisés pour créer des applications OAuth nuisibles dans le cadre d'une campagne de phishing destinée à infiltrer les environnements cloud des entreprises et à voler des e-mails.
La société informatique a affirmé que les acteurs frauduleux "ont créé des applications qui ont ensuite été déployées dans le cadre d'une campagne de phishing par consentement, qui a dupé les utilisateurs pour qu'ils autorisent l'accès aux fausses applications". "Cette campagne de phishing ciblait principalement des clients au Royaume-Uni et en Irlande."
L'hameçonnage de consentement est un type d'attaque d'ingénierie sociale dans laquelle les utilisateurs sont persuadés de donner leur autorisation à des applications cloud malveillantes, qui peuvent ensuite être utilisées comme une arme pour accéder aux données utilisateur sécurisées et au cloud légitime.
.UN
De plus, Microsoft a déclaré avoir ajouté davantage de mesures de sécurité pour renforcer le processus de vérification lié au programme de partenariat Microsoft Cloud (anciennement MPN) et réduire la probabilité d'activités frauduleuses à l'avenir.
La publication est programmée pour coïncider avec un article Proofpoint décrivant comment les acteurs de la menace ont pu compromettre avec succès les infrastructures cloud des entreprises en profitant du statut de Microsoft en tant qu'"éditeur certifié".
La campagne est remarquable car elle a réussi à tromper Microsoft afin d'obtenir le badge validé bleu en imitant des sociétés bien connues.
Selon Proofpoint, les applications OAuth malveillantes disposaient d'"autorisations déléguées étendues" qui comprenaient la lecture des e-mails, la modification des paramètres de la boîte aux lettres et l'accès aux fichiers et autres données liées au compte de l'utilisateur.
Il a également noté que, contrairement à une campagne précédente qui a compromis les éditeurs Microsoft déjà vérifiés pour exploiter les capacités des applications OAuth, les attaques les plus récentes sont faites pour se faire passer pour des éditeurs dignes de confiance afin d'obtenir des applications malveillantes vérifiées et de les diffuser.
Trois des applications susmentionnées ont été nommées "Single Sign-on (SSO)", le troisième programme tentant de se faire passer pour un logiciel de visioconférence en utilisant le terme "Meeting".
Les mêmes entreprises étaient ciblées par les trois applications, qui étaient créées par trois éditeurs distincts et utilisaient la même infrastructure sous le contrôle de l'attaquant.
Selon le fournisseur de sécurité d'entreprise, les organisations peuvent être affectées par des comptes d'utilisateurs piratés, l'exfiltration de données, la contrefaçon de marque par des entreprises impostrices, la fraude par compromission de messagerie professionnelle (BEC) et l'abus de boîte aux lettres.
Le 27 décembre 2022, une semaine après que Proofpoint a informé Microsoft de l'attaque du 20 décembre et que les applications ont été bloquées, la campagne aurait pris fin.
Les résultats montrent le niveau de sophistication utilisé pour mener à bien l'assaut, ainsi que la façon dont les mesures de sécurité de Microsoft ont été contournées et comment la confiance des utilisateurs dans les fournisseurs et les fournisseurs de services de l'entreprise a été abusée.
De fausses applications OAuth ont déjà été utilisées pour attaquer les services cloud de Microsoft. Proofpoint a décrit une activité de menace supplémentaire connue sous le nom d'OiVaVoii en janvier 2022 qui ciblait les cadres supérieurs dans le but de gagner du pouvoir.
Puis, en septembre 2022, Microsoft a révélé qu'il avait arrêté un assaut qui utilisait des applications OAuth malveillantes installées sur des locataires de cloud infectés pour finalement prendre le contrôle des serveurs Exchange et envoyer du spam.
Français du Canada 
English 
हिन्दी 
ગુજરાતી 
தமிழ் 
తెలుగు 
मराठी 
മലയാളം 
বাংলা 
Français de Belgique 
Deutsch (Schweiz) 
Deutsch (Sie) 
Deutsch 
English (Canada) 
English (New Zealand) 
English (UK) 
English (Australia) 
English (South Africa) 
Afrikaans 
اردو 
العربية 
Русский 
简体中文 
Azərbaycan dili 
অসমীয়া 
Magyar 
Bahasa Indonesia 
Español de Argentina 
Español de Colombia 
日本語 
Italiano 
Tiếng Việt 
Українська 
فارسی