Più tenant cloud che ospitano server Microsoft Exchange sono stati compromessi da attori malintenzionati che utilizzano app OAuth per diffondere spam.
Server Microsoft Exchange utilizzati per diffondere lo spam
Il 23 settembre 2022, è stato affermato in a Post sul blog sulla sicurezza Microsoft che l'aggressore "l'attore della minaccia ha lanciato attacchi di credential stuffing contro account ad alto rischio che non avevano autenticazione a più fattori (MFA) abilitato e sfruttato gli account amministratore non protetti per ottenere l'accesso iniziale".
Accedendo al tenant cloud, l'aggressore è stato in grado di registrare un'applicazione OAuth fasulla con autorizzazioni elevate. L'attaccante ha quindi aggiunto un connettore in entrata dannoso all'interno del server, oltre a regole di trasporto, che gli hanno dato la possibilità di diffondere spam tramite domini mirati eludendo il rilevamento. Anche il connettore in entrata e le regole di trasporto sono stati eliminati tra una campagna e l'altra per aiutare l'attaccante a volare sotto il radar.
Per eseguire questo attacco, l'autore della minaccia è stato in grado di sfruttare gli account ad alto rischio che non utilizzavano l'autenticazione a più fattori. Questo spam faceva parte di uno schema utilizzato per indurre le vittime a sottoscrivere abbonamenti a lungo termine.
Protocollo di autenticazione OAuth sempre più utilizzato negli attacchi
Nel suddetto post sul blog, Microsoft ha anche affermato di aver "monitorato la crescente popolarità dell'abuso delle applicazioni OAuth". OAuth è un protocollo che viene utilizzato per acconsentire a siti Web o applicazioni senza dover rivelare la password. Ma questo protocollo è stato abusato più volte da un attore di minacce per rubare dati e fondi.
In precedenza, malintenzionati utilizzavano un'applicazione OAuth dannosa in una truffa nota come "consent phishing". Ciò ha comportato l'inganno delle vittime a concedere determinate autorizzazioni ad app OAuth dannose. In questo modo, l'attaccante potrebbe accedere ai servizi cloud delle vittime. Negli ultimi anni, sempre più criminali informatici hanno utilizzato app OAuth dannose per truffare utenti, a volte per condurre phishing e talvolta per altri scopi, come backdoor e reindirizzamenti.
L'attore dietro questo attacco ha condotto precedenti campagne di spam
Microsoft ha scoperto che l'autore della minaccia responsabile dell'attacco a Exchange ha condotto campagne di posta elettronica spam per un po' di tempo. È stato affermato nello stesso Post sul blog sulla sicurezza Microsoft che ci sono due segni distintivi associati a questo aggressore. L'attore della minaccia "genera in modo programmatico messaggi contenenti due immagini con collegamenti ipertestuali visibili nell'e-mail body" e utilizza "contenuti dinamici e randomizzati inseriti nel corpo HTML di ogni messaggio di posta per eludere lo spam filtri".
Sebbene queste campagne siano state utilizzate per accedere ai dati della carta di credito e indurre gli utenti a iniziare a pagare abbonamenti, Microsoft ha dichiarato che non sembrano esserci ulteriori minacce alla sicurezza poste da questo particolare aggressore.
Le app legittime continuano a essere sfruttate dagli aggressori
La creazione di versioni false e dannose di app attendibili non è una novità nell'ambito del crimine informatico. L'uso di un nome legittimo per ingannare le vittime è stato un metodo di truffa preferito per molti anni, con persone in tutto il mondo che si innamorano quotidianamente di tali truffe. Questo è il motivo per cui è fondamentale che tutti gli utenti di Internet utilizzino adeguate misure di sicurezza (inclusi autenticazione a più fattori) sui propri account e dispositivi in modo da ridurre le possibilità di incorrere in un attacco informatico sono abbassati.