Cybercriminelen promoten kwaadaardige Microsoft OAuth-apps die zich voordoen als Adobe- en DocuSign-apps om malware te verspreiden en Microsoft 365-accountgegevens te stelen.

De campagnes werden ontdekt door onderzoekers van Proofpoint, die ze als “zeer gericht” karakteriseerden in een thread op X.

De kwaadaardige OAuth-apps in deze campagne doen zich voor als Adobe Drive, Adobe Drive X, Adobe Acrobat en DocuSign.

Deze apps vragen toegang tot minder gevoelige machtigingen zoals ‘profiel’, ‘e-mail’ en ‘openid’ om detectie en achterdocht te vermijden.

Als die machtigingen worden verleend, krijgt de aanvaller toegang tot:

• profiel – Volledige naam, Gebruikers-ID, Profielfoto, Gebruikersnaam
• e-mail – primair e-mailadres (geen toegang tot de inbox)
• openid – maakt bevestiging van de identiteit van de gebruiker mogelijk en het ophalen van Microsoft-accountgegevens

Proofpoint vertelde BleepingComputer dat de phishingcampagnes waren verstuurd vanuit liefdadigheidsinstellingen of kleine bedrijven die gecompromitteerde e-mailaccounts gebruikten, waarschijnlijk Office 365-accounts.

De e-mails waren gericht op meerdere Amerikaanse en Europese industrieën, waaronder de overheid, de gezondheidszorg, de toeleveringsketen en de detailhandel. Sommige van de e-mails, gezien door het cybersecuritybedrijf, gebruikten RFP’s en contractaantrekkingen om ontvangers te misleiden tot het openen van de links.

Hoewel de machtigingen die door de Microsoft OAuth-app werden geaccepteerd beperkte gegevens aan de aanvallers verschafte, konden de informatie nog steeds worden gebruikt voor gerichtere aanvallen.

Bovendien, zodra toestemming wordt verleend aan de OAuth-app, worden gebruikers doorgestuurd naar landingspagina’s die phishingformulieren vertonen voor Microsoft 365-referenties of malware verspreiden.

“De slachtoffers ondergingen meerdere omleidingen en stadia na het autoriseren van O365 OAuth-apps, totdat ze werden geconfronteerd met de malware of de phishingpagina erachter,” vertelde Proofpoint BleepingComputer.

“In sommige gevallen werden de slachtoffers doorgestuurd naar een ‘O365 inlog’ pagina (gehost op een kwaadaardig domein). Minder dan een minuut na de autorisatie detecteerde Proofpoint verdachte inlogactiviteiten naar het account.”

Proofpoint zei dat ze de verspreide malware niet konden identificeren, maar dat de aanvallers de ClickFix-sociale engineeringsaanval gebruikten, die het afgelopen jaar zeer populair is geworden.

De aanvallen lijken op die jaren geleden zijn gerapporteerd, wat erop wijst dat OAuth-apps een effectieve manier blijven om Microsoft 365-accounts te kapen zonder referenties te stelen.

Gebruikers worden geadviseerd voorzichtig te zijn met OAuth-appmachtigingsverzoeken en altijd hun bron en legitimiteit te verifiëren voordat ze deze goedkeuren.

Om bestaande goedkeuringen te controleren, ga naar ‘Mijn Apps’ (myapplications.microsoft.com) → ‘Beheer uw apps’ → en trek de machtigingen in van alle niet-herkende apps op dat scherm.

Microsoft 365-beheerders kunnen ook de toestemming van gebruikers om in te stemmen met verzoeken van derden voor OAuth-apps volledig beperken via ‘Enterprise Applications’ → ‘Toestemmingen en machtigingen’ → zet ‘Gebruikers kunnen toestemmen met apps’ op ‘Nee.’