Фишинг и майнинг в OAuth-приложениях: Microsoft предупреждает о новой опасности

Корпорация Microsoft опубликовала важное предупреждение о новом виде кибератак. Специалисты утверждают, что преступники начали использовать OAuth-приложения в качестве инструмента для автоматического развёртывания виртуальных машин (VM), используемых для майнинга криптовалют и организации фишинговых атак.

OAuth, сокращённо "Open Authorization" (Открытая авторизация), представляет собой фреймворк для авторизации и делегирования. Он позволяет приложениям безопасно получать доступ к данным с других сайтов без ввода логина и пароля напрямую.

Согласно отчету Microsoft, злоумышленники запускают фишинговые кампании и атаки методом перебора паролей, нацеленные на учетные записи с ограниченной защитой. При этом у аккаунта должны быть права на создание или модификацию OAuth-приложений.

Например, группа, известная под кодовым названием Storm-1283, использовала скомпрометированный аккаунт, чтобы создать OAuth-приложение для развертывания виртуальной машины и майнинга криптовалюты. Были обнаружены случаи, когда злоумышленники модифицировали уже существующие приложения, добавляя в них новые учетные данные для достижения своих целей.

В другом случае неизвестные скомпрометировали учетные записи, чтобы сохранить доступ к системе и запускать фишинговые атаки по электронной почте. Они применяли инструменты для атак типа "adversary-in-the-middle" (AiTM), чтобы перехватывать сессионные куки и таким образом обходить системы аутентификации.

Затем злоумышленники прибегали к особому виду мошенничества, известному как business email compromise (компрометация корпоративной почты, BEC). После авторизации в Microsoft Outlook Web Application они искали и открывали вложения в письмах, содержащие ключевые слова, такие как "платёж" или "счёт-фактура", чтобы заполучить финансовую информацию или другие чувствительные данные. Часто подобные операции осуществлялись в качестве разведки перед запуском более крупных кампаний.

Для снижения риска подобных инцидентов Microsoft рекомендует организациям настроить многофакторную аутентификацию (MFA), применять политики условного доступа, а также регулярно проводить аудит приложений, используемых в корпоративных сетях, и проверять наличие у них соответствующих прав доступа.