Microsoft 365-gebruikers getroffen door malafide Adobe OAuth-apps
Onderzoekers van Proofpoint melden dat er momenteel twee afzonderlijke aanvallen plaatsvinden die misbruik maken van OAuth-authenticatie. Volgens de onderzoekers gaat het om “zeer gerichte” aanvallen op Microsoft 365-accounts, waarbij hackers OAuth-omleidingstechnieken combineren met merkimitatietechnieken. Hierdoor is het lastiger om de aanvallen te herkennen.
Bij de aanvallen richten hackers zich volgens Proofpoint specifiek op Amerikaanse en Europese overheden, gezondheidsdiensten, toeleveringsketens en retailers. Slachtoffers worden via e-mail verleid om op een link te klikken die hen naar het OAuth-portaal leidt. De e-mails worden vaak verzonden via gehackte e-mailadressen van goede doelen of kleine bedrijven.
Phishing via OAuth
Gebruikers krijgen geloofwaardige OAuth-schermen voorgeschoteld met namen zoals Adobe Cloud, Adobe Cloud X, Adobe Acrobat en DocuSign, aldus het beveiligingsbedrijf. In de OAuth-meldingen wordt toegang gevraagd tot profiel-, e-mail- en OpenID-informatie van Microsoft 365-gebruikers.
Gebruikers die op ‘Accepteren’ drukken, geven de aanvallers toegang tot alle informatie op hun profiel (zoals naam, profielfoto en gebruikersnaam), evenals hun e-mailadres en de OpenID-gegevens van hun account. Met deze gegevens kunnen hackers de identiteit van hun slachtoffer achterhalen en deze bijvoorbeeld gebruiken bij vervolgphishingaanvallen.
Hoewel er in eerste instantie niet extreem veel data wordt gedeeld, kan de aanval alsnog een grote impact hebben op bedrijven. Bovendien blijven dit soort OAuth-aanvallen vaak onder de radar, juist omdat er niet direct veel gevoelige data wordt vrijgegeven. Slachtoffers kijken er doorgaans niet van op dat apps om dergelijke gegevens vragen, omdat dit vaker voorkomt bij OAuth-apps. Hierdoor zijn ze sneller geneigd goedkeuring te geven.
Malwarecampagne
Nadat slachtoffers gegevens van hun Microsoft-account hadden gedeeld, werden ze doorgestuurd naar een malware- of phishingpagina. De phishingsite, met de naam ‘O365 Login’, vraagt gebruikers om in te loggen op hun Microsoft-account, wat volgens Proofpoint leidde tot verdachte inlogpogingen. In andere gevallen werden ze doorgestuurd naar een malwarepagina waarop gebruik wordt gemaakt van de ClickFix-aanvalstechniek. Deze techniek laat gebruikers zogenaamd hun identiteit verifiëren, maar downloadt intussen malware.
Getroffen gebruikers kunnen via het My Apps-portaal van Microsoft 365 malafide OAuth-apps de toegang tot hun gegevens ontzeggen. Ga hiervoor naar myapplications.microsoft.com, klik op Manage your Apps en verwijder alle onbekende apps die toegang hebben tot je gegevens.
