Ataque usa apps falsos da Adobe para invadir contas do Microsoft 365
Se o usuário não perceber que é alvo de uma ação maliciosa, baixará um malware ou fará login com sua conta do Microsoft 365 em uma página falsa. Ataque usa apps falsos da Adobe para invadir contas do Microsoft 365
A empresa de segurança digital Proofpoint descobriu que cibercriminosos estão usando aplicativos falsos da Adobe e da Docusign para distribuir malwares. Mas o objetivo principal das ações maliciosas é outro: acessar contas no Microsoft 365.
O truque começa com uma tática de engenharia social. Os alvos recebem, normalmente via e-mail, mensagens que parecem ter sido geradas por ferramentas de organizações como Adobe e Docusign, como já informado.
Quando o usuário acessa um dos aplicativos falsos, a ameaça utiliza um mecanismo de redirecionamento OAuth para interceptar dados de login. O OAuth é um protocolo aberto de segurança que permite ao usuário autorizar uma aplicação a ter acesso a dados específicos.
Se o usuário não perceber que o aplicativo da Adobe ou Docusign é falso, irá dar permissões para acesso a dados como nome completo, nome de usuário, endereço de e-mail e “openid”, que permite a confirmação da identidade da pessoa.
Na primeira olhada, esses dados não são muito sensíveis, afinal, não permitem que a conta do alvo seja acessada. Por outro lado, esses dados são suficientes para que ações maliciosas direcionadas sejam executadas, a exemplo de um e-mail de phishing que exibe o nome completo da pessoa.
Mas o truque não termina aí. Depois que as permissões via OAuth são dadas, o aplicativo falso direciona o usuário a páginas fraudulentas, que distribuem malwares ou pedem para o usuário fazer login usando a sua conta no Microsoft 365.
“Em alguns casos, as vítimas foram redirecionadas a uma página de “login do O365″ (hospedada em um domínio malicioso). Menos de um minuto após a autorização, a Proofpoint detectou atividade de login suspeita na conta”, relata a empresa.
Como proteger a minha conta no Office 365 nesse tipo de ataque?
O primeiro passo consiste em sempre checar a origem de um aplicativo que pede permissões via OAuth. Nos casos em questão, todas as solicitações tinham o aviso de “unverified” (não verificado) abaixo do nome do suposto aplicativo, o que já é um forte sinal de que algo ali não está certo.
Também é importante checar se a página que pede para você fazer login usando as suas credenciais no Microsoft 365 está sob o domínio da Microsoft ou da organização onde você trabalha.
Outra orientação, esta preventiva, consiste em acessar o endereço myapplications.microsoft.com periodicamente e remover os apps que aparecem ali que você não reconhece.
A boa notícia é que este é um ataque direcionado, isto é, que tem alvos específicos. Isso significa que apenas um pequeno número de pessoas está sob risco. De todo modo, o clichê “todo cuidado é pouco” continua valendo.
Com informações do BleepingComputer
Ataque usa apps falsos da Adobe para invadir contas do Microsoft 365
