Mai mulți chiriași cloud care găzduiesc servere Microsoft Exchange au fost compromisi de actori rău intenționați care folosesc aplicații OAuth pentru a răspândi spam.
Servere Microsoft Exchange utilizate pentru a răspândi spam
La 23 septembrie 2022, s-a precizat în a Postare de blog Microsoft Security că atacatorul „actorul de amenințare a lansat atacuri de umplere a acreditărilor împotriva conturilor cu risc ridicat care nu aveau autentificare multifactor (MFA) a activat și a exploatat conturile de administrator nesecurizate pentru a obține accesul inițial".
Prin accesarea chiriașului cloud, atacatorul a putut să înregistreze o aplicație OAuth falsă cu permisiuni ridicate. Atacatorul a adăugat apoi un conector de intrare rău intenționat în interiorul serverului, precum și reguli de transport, care le-au oferit posibilitatea de a răspândi spam prin domeniile vizate evitând în același timp detectarea. Conectorul de intrare și regulile de transport au fost, de asemenea, șterse între fiecare campanie pentru a ajuta atacatorul să zboare sub radar.
Pentru a executa acest atac, actorul amenințării a putut profita de conturile cu risc ridicat care nu foloseau autentificarea cu mai mulți factori. Acest spam a făcut parte dintr-o schemă folosită pentru a păcăli victimele să se înscrie pentru abonamente pe termen lung.
Protocolul de autentificare OAuth folosit din ce în ce mai mult în atacuri
În postarea de blog menționată mai sus, Microsoft a mai declarat că a „monitorizat popularitatea în creștere a abuzului aplicației OAuth”. OAuth este un protocol care este folosit pentru a vă da consimțământul pentru site-uri web sau aplicații fără a fi nevoie să vă dezvăluiți parola. Dar acest protocol a fost abuzat de un actor de amenințări de mai multe ori pentru a fura date și fonduri.
Anterior, actorii rău intenționați foloseau o aplicație OAuth rău intenționată într-o înșelătorie cunoscută sub numele de „phishing consimțământ”. Aceasta a implicat păcălirea victimelor pentru a acorda anumite permisiuni aplicațiilor OAuth dăunătoare. Prin aceasta, atacatorul ar putea accesa serviciile cloud ale victimelor. În ultimii ani, din ce în ce mai mulți criminali cibernetici au folosit aplicații OAuth rău intenționate pentru a escroche utilizatorilor, uneori pentru a desfășura phishing și alteori în alte scopuri, cum ar fi ușile din spate și redirecționări.
Actorul din spatele acestui atac a desfășurat campanii anterioare de spam
Microsoft a descoperit că actorul de amenințare responsabil pentru atacul Exchange a desfășurat campanii de e-mail spam de ceva timp. S-a precizat în același Postare de blog Microsoft Security că există două semne distinctive asociate cu acest atacator. Actorul amenințării „generează în mod programatic mesaje care conțin două imagini vizibile cu hyperlink în e-mail body” și folosește „conținut dinamic și randomizat injectat în corpul HTML al fiecărui mesaj de e-mail pentru a evita spamul filtre”.
Deși aceste campanii au fost folosite pentru a accesa informațiile despre cardul de credit și pentru a păcăli utilizatorii să înceapă să plătească abonamente, Microsoft a declarat că nu pare să existe alte amenințări la securitate reprezentate de acest anume atacator.
Aplicațiile legitime continuă să fie exploatate de atacatori
Crearea de versiuni false, rău intenționate ale aplicațiilor de încredere nu este nimic nou în spațiul criminalității cibernetice. Folosirea unui nume legitim pentru a păcăli victimele a fost o metodă de înșelătorie preferată de mulți ani, oamenii din întreaga lume căzând zilnic în astfel de escrocherii. Acesta este motivul pentru care este esențial ca toți utilizatorii de internet să folosească măsuri de securitate adecvate (inclusiv autentificare multifactor) pe conturile și dispozitivele lor, astfel încât șansele de a se confrunta cu un atac cibernetic sunt coborâte.