Proofpoint ha identificato un cluster di attività che utilizza la creazione e i reindirizzamenti di applicazioni Microsoft OAuth che conducono a URL malevoli, consentendo il phishing delle credenziali. Le false applicazioni Microsoft 365 impersonificano varie aziende, tra cui RingCentral, SharePoint, Adobe e DocuSign. Proofpoint ha osservato questa attività per la prima volta all’inizio del 2025 ed è tuttora in corso.
“Le campagne si pongono l’obiettivo di utilizzare le applicazioni Microsoft OAuth come esca per realizzare altre attività, principalmente ottenere l’accesso agli account Microsoft 365 tramite phishing MFA,” spiegano i ricercatori Proofpoint. “Le campagne di phishing sfruttano kit specifici “attacker-in-the-middle” (AiTM) per l’autenticazione multi-fattore, prevalentemente Tycoon”.
Microsoft OAuth tra le app Microdoft coinvolte nelle campagne di impersonificazione
Tale attività potrebbe essere utilizzata per la raccolta di informazioni, movimento laterale, installazione di malware successivi o condurre ulteriori campagne di phishing da account compromessi.
I ricercatori hanno osservato questa tecnica in campagne e-mail con l’impersonificazione di oltre 50 applicazioni e diversi kit di phishing che utilizzano questa catena di attacco, inclusi Tycoon e ODx.
Nelle campagne osservate simili a quelle che riguardano Microsoft OAuth, i messaggi vengono spesso inviati da account e-mail compromessi e includono oggetti relativi a richieste di preventivi o accordi contrattuali commerciali e generalmente includono migliaia di messaggi, colpendo centinaia di clienti. Tuttavia, mentre la maggior parte delle campagne sfrutta applicazioni e servizi aziendali, alcune delle app possono cambiare in base al mittente compromesso e al target verticale del settore.
Si prevede un aggiornamento da parte di Microsoft
Proofpoint ha segnalato a Microsoft le app coinvolte. È importante notare che, già a giugno 2025, Microsoft ha annunciato l’aggiornamento delle impostazioni predefinite in Microsoft 365, bloccando i protocolli di autenticazione legacy e richiedendo il consenso dell’amministratore per l’accesso di app di terze parti, con modifiche iniziate a metà luglio e che si completeranno entro agosto. Si prevede che questo aggiornamento avrà un impatto positivo sul panorama generale e ostacolerà gli attori delle minacce che utilizzano questa tecnica.
