I ricercatori di Proofpoint stanno monitorando due campagne in corso, altamente mirate, che combinano meccanismi di reindirizzamento OAuth con tecniche di impersonificazione del brand, dietro a false app ove proliferano malware e phishing di credenziali a tema Microsoft365 con obiettivi di Account Takeover (ATO).
Gli attaccanti hanno preso di mira organizzazioni negli Stati Uniti e in Europa appartenenti a diversi settori, tra cui pubblica amministrazione, sanità, supply chain e retail.
Le due tattiche malevole
I ricercatori hanno classificato le minacce osservate finora in due cluster distinti, entrambe finalizzata alla compromissione dell’account, sulla base di diverse funzionalità, tra cui gli specifici brand abusati:
- Impersonificazione di Adobe: reindirizzamento a ClickFix per la distribuzione di malware, pagina di phishing
- Impersonificazione di Docusign: pagina di credential phishing
Obiettivo finale sembra essere l’account takeover, che può portare a una varietà di obiettivi post-compromissione.
Una potenziale attribuzione è ancora in fase di definizione, al momento Proofpoint non dispone di prove sufficienti per collegare l’attività a uno specifico attore di minacce.
“Queste app OAuth pericolose fungono da gateway per i siti di phishing. In particolare, i cybercriminali utilizzano la credibilità di Microsoft per reindirizzare la vittima a una pagina di phishing”, sottolineano i ricercatori di Proofpoint. “Solitamente non hanno scopi malevoli, quindi è meno probabile che l’autorizzazione stessa venga segnalata come sospetta. Questo contrasta con quanto si vede in altre campagne basate su OAuth, dove l’app stessa viene utilizzata per esfiltrare direttamente i dati della vittima o per compiere azioni utilizzando il suo account.”
Le tecniche di attacco OAuth sono state inizialmente introdotte tramite applicazioni dannose di terze parti. Man mano che le policy di controllo delle applicazioni e altri meccanismi di rilevamento hanno affrontato l’abuso di questo vettore, si è sviluppata una serie di nuove tecniche. Oltre a quella di reindirizzamento qui descritta, Proofpoint ha osservato un aumento significativo degli attacchi tramite app “di seconda parte”, in cui applicazioni pericolose aggiuntive, con permessi maggiori, vengono autorizzate o create dopo che l’avvenuta compromissione di account con un altro metodo.
Questi attacchi sfruttano l’impersonificazione di organizzazioni legittime e se gli utenti procedono all’installazione e autorizzazione non sono vigili, potrebbero non accorgersi che siano falsi.
