Martedì, Microsoft ha annunciato di aver preso provvedimenti per disabilitare gli account fasulli di Microsoft Partner Network (MPN) che erano stati utilizzati per creare applicazioni OAuth dannose come parte di una campagna di phishing intesa a infiltrarsi negli ambienti cloud delle aziende e rubare la posta elettronica.
La società IT ha affermato che gli attori fraudolenti "hanno creato applicazioni che sono state successivamente distribuite in una campagna di phishing del consenso, che ha indotto gli utenti ad autorizzare l'accesso alle app fasulle". "Questa campagna di phishing ha preso di mira principalmente i clienti nel Regno Unito e in Irlanda".
Il phishing del consenso è un tipo di attacco di ingegneria sociale in cui gli utenti vengono persuasi a fornire l'autorizzazione ad applicazioni cloud dannose, che possono successivamente essere utilizzate come arma per accedere ai dati degli utenti sicuri e al cloud legittimo
.UN
Inoltre, Microsoft ha dichiarato di aver aggiunto ulteriori misure di sicurezza per rafforzare il processo di verifica connesso al Microsoft Cloud Partner Program (precedentemente MPN) e ridurre la probabilità di attività fraudolente in futuro.
La pubblicazione è programmata per coincidere con un documento Proofpoint che delinea come gli attori delle minacce sono stati in grado di compromettere con successo le infrastrutture cloud aziendali sfruttando lo status di Microsoft come "editore certificato".
La campagna è notevole perché è stata efficace nell'ingannare Microsoft per ottenere il badge blu convalidato imitando aziende note.
Le app OAuth canaglia, secondo Proofpoint, avevano "autorizzazioni delegate di vasta portata" che includevano la lettura di e-mail, la modifica delle impostazioni della casella di posta e l'accesso a file e altri dati collegati all'account dell'utente.
Ha inoltre osservato che, contrariamente a una precedente campagna che ha compromesso gli editori Microsoft già verificati per sfruttare le funzionalità delle app OAuth, gli attacchi più recenti vengono effettuati per impersonare editori affidabili al fine di ottenere la verifica e diffondere le applicazioni dannose.
Tre delle suddette app sono state denominate "Single Sign-on (SSO)", con il terzo programma che tentava di passare come software di videoconferenza utilizzando il termine "Meeting".
Le stesse aziende sono state prese di mira da tutte e tre le app, realizzate da tre diversi editori e che utilizzavano la stessa infrastruttura sotto il controllo dell'aggressore.
Le organizzazioni possono essere colpite da account utente compromessi, esfiltrazione di dati, violazione del marchio da parte di società impostore, frode BEC (Business Email Compromise) e abuso di caselle di posta, secondo il fornitore di sicurezza aziendale.
Il 27 dicembre 2022, una settimana dopo che Proofpoint ha notificato a Microsoft l'attacco del 20 dicembre e le app sono state bloccate, si dice che la campagna sia giunta al termine.
I risultati mostrano il livello di sofisticazione utilizzato per eseguire l'assalto, nonché il modo in cui le misure di sicurezza di Microsoft sono state aggirate e il modo in cui è stata abusata della fiducia degli utenti nei fornitori e nei fornitori di servizi aziendali.
False app OAuth sono già state utilizzate per attaccare i servizi cloud di Microsoft. Proofpoint ha descritto un'ulteriore attività di minaccia nota come OiVaVoii nel gennaio 2022 che ha preso di mira i dirigenti senior nel tentativo di ottenere potere.
Quindi, nel settembre 2022, Microsoft ha rivelato di aver fermato un attacco che utilizzava applicazioni OAuth non autorizzate installate su tenant cloud infetti per assumere il controllo dei server Exchange e inviare spam.
Italiano 
English 
हिन्दी 
ગુજરાતી 
தமிழ் 
తెలుగు 
मराठी 
മലയാളം 
বাংলা 
Français de Belgique 
Deutsch (Schweiz) 
Deutsch (Sie) 
Deutsch 
English (Canada) 
English (New Zealand) 
English (UK) 
English (Australia) 
English (South Africa) 
Afrikaans 
اردو 
العربية 
Русский 
简体中文 
Azərbaycan dili 
অসমীয়া 
Magyar 
Bahasa Indonesia 
Español de Argentina 
Español de Colombia 
日本語 
Tiếng Việt 
Українська 
فارسی 
Français du Canada