I ricercatori di Prrofpoint hanno scoperto una nuova campagna di phishing che sfrutta app OAuth di terze parti per accedere agli ambienti cloud delle aziende ed eseguire varie attività illecite, tra cui il furto dei dati. I cybercriminali hanno abusato del Microsoft Cloud Partner Program (MCPP) per ottenere lo stato di publisher verificato. L’azienda di Redmond ha disattivato le app e chiuso gli account fraudolenti.
Phishing con app OAuth fasulle
Lo stato di publisher verificato viene concesso quando il publisher ha verificato la sua identità attraverso un account Microsoft Cloud Partner Program (MCPP), in precedenza noto come Microsoft Partner Network (MPN). I cybercriminali hanno usato account fraudolenti per aggiungere publisher verificati alla registrazione delle app OAuth create in Azure Active Directory.
Le app OAuth sono utilizzate per ottenere i permessi di accesso ai dati di un account cloud ed effettuare varie azioni, come la creazione di eventi in calendario. Invece di compromettere account di publisher esistenti, i cybercriminali hanno impersonato publisher credibili, riuscendo a ricevere il badge blu che conferma la verifica dell’identità.
Un simile attacco, denominato “consent phishing“, permette di accedere alle email, ai calendari, ai meeting e ad altre informazioni aziendali. Microsoft ha disattivato le app OAuth, chiuso gli account e implementato nuove misure di sicurezza per migliorare la procedura di verifica MCPP, in modo da ridurre il rischio di futuri usi fraudolenti.