Microsoft advierte sobre ataques de phishing de contenido a través de aplicaciones maliciosas de Office 365 OAuth

Microsoft advierte sobre un ataque basado en aplicaciones en el que se engaña a los objetivos para que proporcionen a las aplicaciones maliciosas de Office 365 OAuth acceso a sus cuentas de Office 365. Este tipo de ataque se llama phishing de contenido.

Cuando las víctimas otorgan la OAuth, la aplicación maliciosa a dicho permiso, los atacantes pueden acceder fácilmente a sus cuentas de Microsoft y hacer llamadas API en nombre de las víctimas. Además, pueden obtener acceso a su correo, archivos, contactos, notas, perfiles, así como información confidencial y recursos almacenados en el sistema corporativo de gestión / almacenamiento de documentos de SharePoint y el espacio de almacenamiento en la nube de OneDrive para la Empresa.

Agnieszka Girling, Gerente de PM de Microsoft Partner Group, dijo;

“Si bien el uso de aplicaciones ha acelerado y permitido a los empleados ser productivos de forma remota, los atacantes buscan aprovechar los ataques basados ​​en aplicaciones para obtener acceso injustificado a datos valiosos en servicios en la nube. Si bien puede estar familiarizado con los ataques centrados en los usuarios, como el phishing por correo electrónico o el compromiso de credenciales, los ataques basados ​​en aplicaciones, como el phishing por consentimiento, es otro vector de amenazas que debe conocer “.

Tom Burt, vicepresidente corporativo de seguridad y confianza del cliente de Microsoft, dijo;

Una vez que las víctimas hicieron clic en los enlaces engañosos, finalmente se les solicitó que concedieran permisos de acceso a una aplicación web maliciosa (aplicación web). Desconocido para la víctima, estas aplicaciones web maliciosas fueron controladas por los delincuentes, quienes, con un permiso obtenido de manera fraudulenta, podían acceder a la cuenta de Microsoft Office 365 de la víctima.

Microsoft observó recientemente múltiples prácticas de phishing de contenido y emprendió acciones legales contra los actores de amenazas que están orquestando estos ataques desde las sombras. La compañía anuncia la eliminación de seis dominios que se utilizaron para aplicaciones maliciosas de Office 365 OAuth. Estos dominios incluyen officeinvetorys [.] Com, officehnoc [.] Com, officeuited [.] Com, officemtr [.] Com, officeuitesoft [.] Com y mailitdaemon [.] Com.

Microsoft también identificó y deshabilitó las aplicaciones maliciosas de Office 365 OAuth para bloquear el acceso de los usuarios al evaluar y monitorear billones de señales.

Girling agregado;

También continuamos invirtiendo en formas de garantizar que nuestro ecosistema de aplicaciones sea seguro al permitirles a los clientes establecer políticas sobre los tipos de aplicaciones que los usuarios pueden aceptar, así como destacar las aplicaciones que provienen de editores confiables

Microsoft ofrece una opción para que los usuarios verifiquen si tienen aplicaciones o servicios de consentimiento de usuario vinculados a sus cuentas y también un procedimiento para eliminar estos permisos. Las organizaciones también pueden tomar varias medidas que les ayuden a proteger aún más a su fuerza de trabajo remota de tales ataques: se refieren al uso de aplicaciones verificadas por el editor para educarlos para detectar tácticas de phishing de consentimiento.