A empresa de segurança digital Proofpoint descobriu que cibercriminosos estão usando aplicativos falsos da Adobe e da Docusign para distribuir malwares. Mas o objetivo principal das ações maliciosas é outro: acessar contas no Microsoft 365.
O truque começa com uma tática de engenharia social. Os alvos recebem, normalmente via e-mail, mensagens que parecem ter sido geradas por ferramentas de organizações como Adobe e Docusign, como já informado.
Quando o usuário acessa um dos aplicativos falsos, a ameaça utiliza um mecanismo de redirecionamento OAuth para interceptar dados de login. O OAuth é um protocolo aberto de segurança que permite ao usuário autorizar uma aplicação a ter acesso a dados específicos.
Se o usuário não perceber que o aplicativo da Adobe ou Docusign é falso, irá dar permissões para acesso a dados como nome completo, nome de usuário, endereço de e-mail e “openid”, que permite a confirmação da identidade da pessoa.
Na primeira olhada, esses dados não são muito sensíveis, afinal, não permitem que a conta do alvo seja acessada. Por outro lado, esses dados são suficientes para que ações maliciosas direcionadas sejam executadas, a exemplo de um e-mail de phishing que exibe o nome completo da pessoa.
Mas o truque não termina aí. Depois que as permissões via OAuth são dadas, o aplicativo falso direciona o usuário a páginas fraudulentas, que distribuem malwares ou pedem para o usuário fazer login usando a sua conta no Microsoft 365.
“Em alguns casos, as vítimas foram redirecionadas a uma página de “login do O365″ (hospedada em um domínio malicioso). Menos de um minuto após a autorização, a Proofpoint detectou atividade de login suspeita na conta”, relata a empresa.
Como proteger a minha conta no Office 365 nesse tipo de ataque?
O primeiro passo consiste em sempre checar a origem de um aplicativo que pede permissões via OAuth. Nos casos em questão, todas as solicitações tinham o aviso de “unverified” (não verificado) abaixo do nome do suposto aplicativo, o que já é um forte sinal de que algo ali não está certo.
Também é importante checar se a página que pede para você fazer login usando as suas credenciais no Microsoft 365 está sob o domínio da Microsoft ou da organização onde você trabalha.
Outra orientação, esta preventiva, consiste em acessar o endereço myapplications.microsoft.com periodicamente e remover os apps que aparecem ali que você não reconhece.
A boa notícia é que este é um ataque direcionado, isto é, que tem alvos específicos. Isso significa que apenas um pequeno número de pessoas está sob risco. De todo modo, o clichê “todo cuidado é pouco” continua valendo.
Com informações do BleepingComputer
Fonte: Tecnoblog
