Microsoft ha scoperto che molti cybercriminali sfruttano le applicazioni OAuth per automatizzare vari tipi di attacco, tra cui cryptomining, phishing e spamming. Le applicazioni OAuth vengono create o modificate dopo aver compromesso account poco protetti, ad esempio quelli senza autenticazione multi-fattore.
Applicazioni OAuth per attacchi automatizzati
OAuth è uno standard open per l’autenticazione che consente alle applicazioni di accedere a dati e risorse in base ai permessi impostati dall’utente. L’abuso di OAuth permette ai cybercriminali di mantenere l’accesso alle applicazioni anche quando perdono l’accesso all’account compromesso.
Uno degli attacchi rilevati da Microsoft è stato effettuato dal gruppo Storm-1283. Sfruttando un account compromesso di Azure, i cybercriminali hanno usato una VPN, creato una nuova applicazione OAuth in Microsoft Entra ID (ex Azure Active Directory) e attivato alcune macchine virtuali per il cryptomining.
In un altro attacco, Microsoft ha rilevato la creazione di applicazioni OAuth per mantenere la persistenza ed eseguire attività di phishing. Usando un kit AiTM (adversary-in-the-middle) sono state inviate email a numerose aziende. Quando le vittime cliccano sull’URL nel messaggio viene mostrata la pagina di login di Microsoft, ma i cookie di sessione sono inviati ai cybercriminali tramite proxy server. Questi cookie sono quindi usati per accedere all’account, leggere gli allegati alle email e avviare attività di phishing.
Nel terzo attacco, eseguito dal gruppo Storm-1286, gli account compromessi sono stati sfruttati per inviare migliaia di email di spam al giorno. L’accesso agli account è stato facilitato dall’assenza dell’autenticazione multi-fattore. Quest’ultima deve essere sempre attivata, insieme ad altre protezioni, come i criteri di accesso condizionale.