ΑρχικήSecurityΕπίθεση consent-phishing πέρασε τους ελέγχους 'Verified Publisher' της Microsoft

Επίθεση consent-phishing πέρασε τους ελέγχους ‘Verified Publisher’ της Microsoft

Παρά τους αυστηρούς ελέγχους ασφαλείας “Verified Publisher” της Microsoft, μια επίθεση Consent-Phishing κατάφερε να τους περάσει.

Η Microsoft ανακοίνωσε ότι έλαβε μέτρα για την απενεργοποίηση των ψεύτικων λογαριασμών Microsoft Partner Network (MPN) που χρησιμοποιήθηκαν για τη δημιουργία κακόβουλων εφαρμογών OAuth ως μέρος μιας εκστρατείας phishing που έχει σχεδιαστεί για να παραβιάσει τα περιβάλλοντα cloud των οργανισμών και να κλέψει email.

“Οι εφαρμογές που δημιουργήθηκαν από αυτούς τους δόλιους φορείς χρησιμοποιήθηκαν στη συνέχεια σε μια εκστρατεία consent-phishing, η οποία εξαπάτησε τους χρήστες να παραχωρήσουν άδειες στις δόλιες εφαρμογές”, είπε η Microsoft. “Αυτή η καμπάνια phishing στόχευε ένα υποσύνολο πελατών που βασίζονται κυρίως στο Ηνωμένο Βασίλειο και την Ιρλανδία.”

Δείτε επίσης: Το νέο Sh1mmer ChromeBook exploit καταργεί την εγγραφή διαχειριζόμενων συσκευών

Ένα φεγγάρι που εξαφανίστηκε ίσως διαμόρφωσε τον Άρη. Ένα φεγγάρι που εξαφανίστηκε θα μπορούσε να εξηγήσει γιατί ο Άρης είναι τόσο διαφορετικός από τους άλλους βραχώδεις πλανήτες του ηλιακού μας συστήματος. Σήμερα, ο Άρης έχει δύο μικροσκοπικά φεγγάρια. Αλλά νωρίς στην ιστορία του, ο Κόκκινος Πλανήτης μπορεί να είχε ένα πολύ μεγαλύτερο φεγγάρι, το οποίο μπορεί να ευθύνεται για το περίεργο σχήμα και το ακραίο έδαφός του, προτείνει ο Michael Efroimsky, αστρονόμος στο Ναυτικό Παρατηρητήριο των ΗΠΑ στην Ουάσιγκτον.

00:00 Εισαγωγή
00:19 Μεγαλύτερο φεγγάρι
01:09 Πώς άλλαξε το σχήμα του Άρη
01:35 Πώς εξαφανίστηκε ο Nerio
01:52 Απλώς μια υπόθεση

Μάθετε περισσότερα: https://www.secnews.gr/619125/ena-feggari-pou-eksafanistike-diamorfose-planiti-ari/

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

Ένα φεγγάρι που εξαφανίστηκε ίσως διαμόρφωσε τον Άρη. Ένα φεγγάρι που εξαφανίστηκε θα μπορούσε να εξηγήσει γιατί ο Άρης είναι τόσο διαφορετικός από τους άλλους βραχώδεις πλανήτες του ηλιακού μας συστήματος. Σήμερα, ο Άρης έχει δύο μικροσκοπικά φεγγάρια. Αλλά νωρίς στην ιστορία του, ο Κόκκινος Πλανήτης μπορεί να είχε ένα πολύ μεγαλύτερο φεγγάρι, το οποίο μπορεί να ευθύνεται για το περίεργο σχήμα και το ακραίο έδαφός του, προτείνει ο Michael Efroimsky, αστρονόμος στο Ναυτικό Παρατηρητήριο των ΗΠΑ στην Ουάσιγκτον.

00:00 Εισαγωγή
00:19 Μεγαλύτερο φεγγάρι
01:09 Πώς άλλαξε το σχήμα του Άρη
01:35 Πώς εξαφανίστηκε ο Nerio
01:52 Απλώς μια υπόθεση

Μάθετε περισσότερα: https://www.secnews.gr/619125/ena-feggari-pou-eksafanistike-diamorfose-planiti-ari/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3Li1JaXRiYVF3ZzFV

Ένα φεγγάρι που εξαφανίστηκε ίσως διαμόρφωσε τον Άρη

SecNewsTV 11 hours ago

#secnews #malware #browser #password 

Μια νέα καμπάνια διανομής κακόβουλου λογισμικού κλειδώνει τους χρήστες στο kiosk mode του browser τους και τους αναγκάζει να εισαγάγουν τα Google credentials τους, ώστε να κλαπούν από το info-stealer malware StealC.

Το κακόβουλο λογισμικό «κλειδώνει» το πρόγραμμα περιήγησης του χρήστη στη σελίδα σύνδεσης της Google, εμποδίζοντάς τον να κλείσει το παράθυρο, αφού μπλοκάρει και τα πλήκτρα του πληκτρολογίου «ESC» και «F11». Ο στόχος είναι να αναγκάσει τον χρήστη να εισαγάγει και να αποθηκεύσει τα credentials για το Google account του στο πρόγραμμα περιήγησης, για να "ξεκλειδώσει" τον υπολογιστή.

Μάθετε περισσότερα: https://www.secnews.gr/618976/stealc-malware-kataxrisi-kiosk-mode-browser-klopi-credentials/

00:00 Εισαγωγή
00:22 Πώς λειτουργεί η επίθεση
01:42 Πιθανοί τρόποι αντιμετώπισης και προστασία

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #malware #browser #password

Μια νέα καμπάνια διανομής κακόβουλου λογισμικού κλειδώνει τους χρήστες στο kiosk mode του browser τους και τους αναγκάζει να εισαγάγουν τα Google credentials τους, ώστε να κλαπούν από το info-stealer malware StealC.

Το κακόβουλο λογισμικό «κλειδώνει» το πρόγραμμα περιήγησης του χρήστη στη σελίδα σύνδεσης της Google, εμποδίζοντάς τον να κλείσει το παράθυρο, αφού μπλοκάρει και τα πλήκτρα του πληκτρολογίου «ESC» και «F11». Ο στόχος είναι να αναγκάσει τον χρήστη να εισαγάγει και να αποθηκεύσει τα credentials για το Google account του στο πρόγραμμα περιήγησης, για να "ξεκλειδώσει" τον υπολογιστή.

Μάθετε περισσότερα: https://www.secnews.gr/618976/stealc-malware-kataxrisi-kiosk-mode-browser-klopi-credentials/

00:00 Εισαγωγή
00:22 Πώς λειτουργεί η επίθεση
01:42 Πιθανοί τρόποι αντιμετώπισης και προστασία

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LnpXQnJYNTRHY2w0

StealC: Κατάχρηση kiosk mode του browser για κλοπή password

SecNewsTV 18 hours ago

phishing OAuth consent-phishing microsoft

Η Microsoft έχει προειδοποιήσει ότι δόλιοι λογαριασμοί Microsoft Partner Network (MPN) χρησιμοποιήθηκαν σε μια καμπάνια phishing που παρουσίαζε ψεύτικες εφαρμογές που εξαπατούσαν τα θύματα να τους παραχωρήσουν δικαιώματα πρόσβασης στους λογαριασμούς email τους.

Για να συγκαλύψουν τις κακόβουλες δραστηριότητές τους, οι επιτιθέμενοι δημιούργησαν δόλιους λογαριασμούς MPN και δημοσίευσαν παραποιημένες εφαρμογές που έμοιαζαν πολύ με τις νόμιμες, όπως οι “Single Sign On (SSO)” και “Meeting”, με τα αναγνωρίσιμα εικονίδια και τις διευθύνσεις URL της Zoom. Αυτό ανακαλύφθηκε από την εταιρεία ασφαλείας Proofpoint, η οποία ήταν σε θέση να αποκαλύψει αυτές τις λεπτές διαφορές μεταξύ των πλαστών εφαρμογών από τις πραγματικές.

Δείτε επίσης: Prilex PoS malware: Μπορεί να εμποδίσει ανέπαφες συναλλαγές

Για να ξεκινήσουν την κακόβουλη εκστρατεία τους, οι επιτιθέμενοι μεταμφιέστηκαν ως αξιόπιστοι οργανισμοί για να ενταχθούν στο Microsoft Cloud Partner Program ή MCCP (παλαιότερα γνωστό ως Microsoft Partner Network ή MPN). Στη συνέχεια, χρησιμοποίησαν αυτούς τους λογαριασμούς για να προσθέσουν έναν επαληθευμένο εκδότη στις εγγραφές εφαρμογών OAuth που είχαν κατασκευαστεί στο Azure Active Directory (AD).

Η Microsoft έχει θεωρήσει αυτή την επίθεση ως “consent phishing”, καθώς οι επιτιθέμενοι χρησιμοποιούν δόλιες εφαρμογές και αιτήματα συγκατάθεσης OAuth με βάση το Azure AD για να εξαπατήσουν τα θύματα ώστε να παραχωρήσουν δικαιώματα, όπως ανάγνωση μηνυμάτων ηλεκτρονικού ταχυδρομείου, πρόσβαση σε επαφές κ.λπ., για διάστημα έως και ενός έτους. Επιπλέον, με το verified publisher status που επιτυγχάνεται με την επαλήθευσή τους από τη Microsoft, το όνομα του εκδότη λαμβάνει ένα μπλε σήμα “επαληθευμένο” που χρησιμεύει ως ένδειξη αξιοπιστίας.

Σε μια ανάρτηση στο blog της, η Microsoft δήλωσε ότι οι προσπάθειες phishing απευθύνονταν σε αρκετούς πελάτες που βρίσκονται στο Ηνωμένο Βασίλειο και την Ιρλανδία. Εκτός από την απενεργοποίηση αυτών των κακόβουλων εφαρμογών, έχουν επίσης δώσει ειδοποίηση σε όλους τους πελάτες που επηρεάζονται.

Η Microsoft έχει δει τα περιστατικά consent phishing να αυξάνονται σταθερά τα τελευταία χρόνια, όπου η τεχνική έχει χρησιμοποιηθεί για τη στόχευση πελατών του Office 365. Μόλις παραχωρηθούν από ένα θύμα, τα OAuth permission tokens είναι χρήσιμα επειδή ο εισβολέας δεν απαιτεί τον κωδικό πρόσβασης του λογαριασμού του στόχου, αλλά εξακολουθεί να έχει πρόσβαση σε εμπιστευτικά δεδομένα. Η Microsoft ενημέρωσε πρόσφατα το έγγραφό της σχετικά με το στυλ της επίθεσης.

Δείτε επίσης: Pig butchering scams: Ψεύτικα crypto apps σε App Store και Google Play

Στις 6 Δεκεμβρίου, η Proofpoint εντόπισε τις κακόβουλες εξωτερικές εφαρμογές OAuth και ειδοποίησε τη Microsoft στις 20 Δεκεμβρίου. Αυτή η δραστηριότητα phishing τερματίστηκε στις 27 Δεκεμβρίου. Η Microsoft ενημερώθηκε για αυτή την εκστρατεία consent-phishing την 15η ημέρα του ίδιου μήνα.

Η Proofpoint υπογραμμίζει ότι το consent phishing για εξουσιοδοτημένα δικαιώματα OAuth αποτελεί μια ισχυρή απειλή, παρέχοντας στις κακόβουλες εφαρμογές τη δυνατότητα να ενεργούν σαν να ήταν οι ίδιες ο χρήστης. Αυτό περιλαμβάνει την πρόσβαση σε mailbox resources, ημερολόγια και προσκλήσεις συναντήσεων που συνδέονται με παραβιασμένους λογαριασμούς.

Η Microsoft επισήμανε ότι ο πρωταρχικός σκοπός αυτής της εκστρατείας είναι η απόσπαση του ηλεκτρονικού ταχυδρομείου ενός οργανισμού-στόχου.

Μετά από πλήρη έρευνα, η Microsoft κατέληξε στο συμπέρασμα ότι κακόβουλοι φορείς κατάφεραν να διαρρεύσουν τα email των χρηστών που είχαν χορηγήσει εξουσιοδότηση σε εφαρμογές OAuth τρίτων. Τα άτομα που υπέστησαν αυτή την παραβίαση έχουν ειδοποιηθεί αναλόγως και είναι ενήμερα για την κατάσταση.

Λοιπόν, πώς οι απειλητικοί παράγοντες ξεπέρασαν τους ελέγχους της Microsoft για MPN/MCPP; Σύμφωνα με το Proofpoint, οι χάκερ εμφάνιζαν ένα όνομα στις δόλιες εφαρμογές τους που έμοιαζε με το όνομα ενός υπάρχοντος νόμιμου εκδότη. Εν τω μεταξύ, απέκρυψαν το πραγματικό όνομα “επαληθευμένου εκδότη”, το οποίο ήταν διαφορετικό από το εμφανιζόμενο όνομα. Η Proofpoint σημειώνει ότι, σε δύο περιπτώσεις, οι χάκερ έλαβαν επαλήθευση μόλις μία ημέρα αφότου δημιούργησαν την κακόβουλη εφαρμογή.

consent-phishing microsoft

Μόλις ο εισβολέας λάβει ένα επαληθευμένο αναγνωριστικό εκδότη, πρόσθεσε και συνδέσμους σε κάθε εφαρμογή στους “Όρους Παροχής Υπηρεσιών” και στη “Δήλωση Πολιτικής” του ιστότοπου του οργανισμού που πλαστοπροσωπήθηκε. Στο παρελθόν, οι καμπάνιες consent-phishing είχαν παραβιάσει υπάρχοντες εκδότες επαληθευμένους με MPN για κατάχρηση του OAuth. Η νέα μέθοδος ενισχύει την αξιοπιστία των κακόβουλων εφαρμογών OAuth.

Η Microsoft έχει λάβει βασικά μέτρα για την ενίσχυση της διαδικασίας ελέγχου MCPP και τη μείωση κάθε πιθανής δόλιας συμπεριφοράς στο μέλλον. Έχουν τεθεί σε εφαρμογή πολυάριθμες πρόσθετες προφυλάξεις ασφαλείας για να εξασφαλιστεί η μέγιστη δυνατή ασφάλεια όλων των εμπλεκόμενων χρηστών.

Πηγή πληροφοριών: zdnet.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS