I cybercriminali le usano sempre più spesso per trafugare dati e accedere a informazioni sensibili

Attacchi mirati in aumento: 5 raccomandazioni per difendersi

Le applicazioni OAuth (Open Authorization) aggiungono funzioni aziendali e miglioramenti dell’interfaccia utente alle principali piattaforme cloud come Microsoft 365 e Google Workspace, e per questo sono molto usate. Sfortunatamente, sono anche un nuovo vettore di minacce, poiché i cybercriminali stanno utilizzando sempre più spesso applicazioni OAuth 2.0 pericolose (o malware per il cloud) per trafugare dati e accedere a informazioni sensibili. Nel 2020, Proofpoint ha rilevato più di 180 diverse applicazioni dannose, che hanno attaccato oltre il 55% dei clienti con un tasso di successo del 22%.

I ricercatori Proofpoint hanno osservato molte forme di attacchi di phishing verso token OAuth e di abuso di app OAuth, ideali per gli attaccanti per condurre ricognizioni, lanciare attacchi da dipendente a dipendente e rubare file ed e-mail dalle piattaforme cloud, prendendo spesso di mira gli account di vicepresidenti, account manager, rappresentanti delle risorse umane e direttori finanziari, tipicamente utenti con accesso a dati altamente sensibili. In caso di successo, gli attaccanti ottengono un accesso persistente e indipendente alle e-mail (comprese regole di lettura, scrittura, invio e impostazione della casella di posta), file, contatti, note, chat di Microsoft Teams e altro. In alcuni casi, reindirizzano gli utenti a un sito di phishing dopo che l’utente accetta l’applicazione.

Applicazioni OAuth pericolose e compromissione degli account cloud

Nel 2020, i criminali hanno usato molte tecniche, come impersonificazione delle applicazioni ed esche (COVID-19, quarantena della posta, review da parte di colleghi). Gli attacchi più sofisticati hanno persino fatto leva sulla piattaforma Microsoft per generare inviti alla pagina di consenso dell’applicazione dannosa.

Per controllare il crescente problema delle app malevole di terze parti, Microsoft ha infatti avviato un meccanismo di verifica del publisher – con un successo limitato. Infatti, i ricercatori Proofpoint hanno rilevato hacker in grado di creare applicazioni in tenant compromessi per aggirare questo processo di verifica, utilizzando l’identità fidata del tenant per distribuire le loro applicazioni pericolose su larga scala.

Anche se questo meccanismo di verifica ha ridotto notevolmente l’attività del malware cloud, la minaccia non è stata mitigata completamente. Fedeli al loro spirito, i cybercriminali hanno cambiato le loro tattiche. Ora, stanno compromettendo prima gli account all’interno di tenant credibili, per poi creare, ospitare e distribuire il malware cloud dall’interno.

Il 95% dei tenant cloud è stato colpito da una o più campagne e più del 50% di tutti i tenant compromesso.

L’attività post-compromissione è fondamentale. Gli aggressori accedono a informazioni sensibili tramite e-mail e file, impiantano malware, fanno perdere dati, eseguono movimenti laterali tramite posta e abusano delle applicazioni per ottenere persistenza con un basso footprint e a volte, creeranno un’applicazione nel tenant compromesso.