Учетные записи Microsoft 365 атакуют новые вредоносные программы, маскирующиеся под популярные рабочие приложения.

Преступники используют украденные адреса электронной почты для распространения вредоносных приложений OAuth. Эти приложения крадут конфиденциальные данные и перенаправляют людей на страницы-ловушки, которые крадут учетные данные для входа и доставляют вредоносное ПО.

Хакеры подделывают популярные облачные и программы повышения производительности, чтобы украсть учетные данные Microsoft 365 у людей и распространить вредоносное ПО, предупредили эксперты. Исследователи кибербезопасности Proofpoint представили свои выводы в потоке X, сообщив, что неустановленные киберпреступники использовали скомпрометированные учетные записи Office 365 и адреса электронной почты, принадлежащие благотворительным организациям или небольшим предприятиям, для запуска атак. Неясно, из чего состоят электронные письма, но, по-видимому, цель – заставить жертв установить вредоносные приложения Microsoft OAuth, выдающие себя за Adobe Drive, Adobe Drive X, Adobe Acrobat и DocuSign.

«Высоко целенаправленные» атаки

Тем, кто устанавливает эти приложения, предлагается предоставить определенные разрешения: «профиль», «почта» и «openid». В одиночку они не так разрушительны, поскольку предоставляют доступ только к имени пользователя, идентификатору пользователя, фотографии профиля, имени пользователя и основному адресу электронной почты (без доступа, только информация об учетной записи). Разрешение «openid» также позволяет злоумышленникам подтвердить личность жертвы и получить сведения о ее учетной записи Microsoft.

Хотя этого недостаточно, чтобы украсть данные или установить вредоносное ПО, они могут быть использованы в более персонализированных атаках типа фишинга, – заявили исследователи. Сама кампания была «высоко целенаправленной», – сказала Proofpoint, направленная против организаций из разных отраслей в США и Европе, включая правительство, здравоохранение, цепочку поставок и розничную торговлю.

После предоставления этих разрешений приложения перенаправляют жертв на страницы-ловушки для сбора учетных данных для входа и распространения вредоносного ПО. Proofpoint не смогла подтвердить тип вредоносного ПО, распространяемого таким образом, но подчеркнула, что злоумышленники использовали атаку ClickFix по социальной инженерии. В наши дни ClickFix стал довольно популярен. Он начинается с всплывающего окна браузера, в котором сообщается жертве, что она не может просмотреть содержимое веб-страницы, если не обновит свой браузер (или что-то подобное). Всплывающее окно содержит шаги по «исправлению» проблемы, хитростью заставляя жертв загрузить вредоносное ПО.