Η Microsoft προειδοποιεί ότι κακόβουλοι παράγοντες με οικονομικά κίνητρα χρησιμοποιούν εφαρμογές OAuth για να αυτοματοποιήσουν επιθέσεις BEC και phishing, να διασπείρουν ανεπιθύμητα μηνύματα και να εγκαταστήσουν εικονικές μηχανές για cryptomining.
Δείτε επίσης: API ευπάθειες επηρέαζαν τα Grammarly, Vidio και Bukalapak
Το OAuth (συντομογραφία του Open Authorization) είναι ένα ανοικτό πρότυπο για την παροχή ασφαλούς αντιπροσώπευσης σε εφαρμογές, για την πρόσβαση σε διακομιστές βάσει των ορισμένων από τον χρήστη δικαιωμάτων μέσω ταυτοποίησης και εξουσιοδότησης με βάση τα διακριτικά, χωρίς να απαιτείται η παροχή διαπιστευτηρίων.
Πρόσφατα περιστατικά που ερευνήθηκαν από τους ειδικούς απειλών της Microsoft αποκάλυψαν ότι οι επιτιθέμενοι κατευθύνονται κυρίως σε λογαριασμούς χρηστών που δεν διαθέτουν ισχυρούς μηχανισμούς πιστοποίησης (π.χ. πολυπαραγοντική πιστοποίηση) σε επιθέσεις phishing ή επιθέσεις password-spraying, επικεντρώνοντας σε αυτούς που έχουν δικαιώματα δημιουργίας ή τροποποίησης εφαρμογών OAuth.
Οι παραβιασμένοι λογαριασμοί χρησιμοποιούνται στη συνέχεια για τη δημιουργία νέων εφαρμογών OAuth και την απονομή υψηλών προνομίων σε αυτές, επιτρέποντας την κρυφή διατήρηση των κακόβουλων δραστηριοτήτων τους και εξασφαλίζοντας συνεχή πρόσβαση ακόμη και εάν ο αρχικός λογαριασμός χαθεί.
Οι εφαρμογές OAuth με υψηλά προνόμια χρησιμοποιούνται για ένα ευρύ φάσμα παράνομων δραστηριοτήτων, συμπεριλαμβανομένης της ανάπτυξης εικονικών μηχανών αφιερωμένων στην εξόρυξη κρυπτονομισμάτων, την εξασφάλιση συνεχούς πρόσβασης στις επιθέσεις Business Email Compromise (BEC) και την έναρξη καμπανιών ανεπιθύμητης αλληλογραφίας που εκμεταλλεύονται τα ονόματα τομέων που έχουν παραβιαστεί.
Δείτε ακόμα: Επίθεση consent-phishing πέρασε τους ελέγχους ‘Verified Publisher’ της Microsoft
Ένα ενδιαφέρον παράδειγμα αφορά έναν απειλητικό παράγοντα που ανιχνεύτηκε ως Storm-1283, ο οποίος δημιούργησε μια εφαρμογή OAuth για να εγκαταστήσει εικονικές μηχανές εξόρυξης κρυπτονομισμάτων. Οι οικονομικές επιπτώσεις στις οργανώσεις που ήταν στόχος κυμαίνονταν από $10,000 έως $1.5 εκατομμύριο, ανάλογα με τη διάρκεια της επίθεσης.
Ένας ακόμα δράστης εκμεταλλεύτηκε τις εφαρμογές OAuth που δημιουργήθηκαν χρησιμοποιώντας παραβιασμένους λογαριασμούς για να διατηρήσει την επιμονή και να εκτελέσει εκστρατείες phishing χρησιμοποιώντας ένα κιτ adversary-in-the-middle (AiTM phishing kit).
Ο ίδιος δράστης χρησιμοποίησε τους παραβιασμένους λογαριασμούς για εξοικονόμηση δεδομένων για την Εμπορική Παραβίαση Ηλεκτρονικού Ταχυδρομείου (BEC), χρησιμοποιώντας την εφαρμογή Microsoft Outlook Web Application (OWA) για να αναζητήσει συνημμένα που σχετίζονται με τις λέξεις “πληρωμή” και “τιμολόγιο“.
Σε διαφορετικές περιπτώσεις, ο επιτιθέμενος δημιούργησε πολλαπλές OAuth εφαρμογές για την διατήρηση της μόνιμης παρουσίας του, προσθέτοντας νέα διαπιστευτήρια και διαβάζοντας ή αποστέλλοντας phishing emails μέσω του Microsoft Graph API.
Ένα από τα κύρια σημάδια που υποδηλώνουν μια πιθανή BEC επίθεση είναι η αλλαγή στη γλώσσα ή το στυλ επικοινωνίας στα email. Οι επιτιθέμενοι μπορεί να χρησιμοποιήσουν διαφορετικές φράσεις, γραμματοσειρές ή υπογραφές από αυτές που συνήθως χρησιμοποιεί ο αποστολέας. Αυτή η αλλαγή μπορεί να είναι ένα σημάδι ότι κάποιος άλλος έχει πάρει τον έλεγχο του λογαριασμού email του αποστολέα.
Δείτε επίσης: ownCloud: Κρίσιμες ευπάθειες εκθέτουν credentials
Ένα άλλο σημάδι μιας πιθανής BEC επίθεσης είναι η αίτηση για αλλαγή των τραπεζικών στοιχείων ή οδηγίες για μεταφορά χρημάτων. Οι επιτιθέμενοι μπορεί να προσποιηθούν υψηλόβαθμους υπαλλήλους ή συνεργάτες και να ζητήσουν από τους παραλήπτες να αλλάξουν τις τραπεζικές πληροφορίες ή να πραγματοποιήσουν μεταφορές χρημάτων σε λογαριασμούς που ελέγχουν οι επιτιθέμενοι.
Ένα ακόμη σημάδι μιας πιθανής BEC επίθεσης είναι η απροσδόκητη αλλαγή στους παραλήπτες των email. Οι επιτιθέμενοι μπορεί να προσθέσουν ή να αφαιρέσουν παραλήπτες από τα email, προκαλώντας σύγχυση και αναστάτωση. Αυτό μπορεί να σημαίνει ότι κάποιος έχει παραβιάσει το λογαριασμό email του αποστολέα και προσπαθεί να αποκτήσει πρόσβαση σε ευαίσθητες πληροφορίες.
Τέλος, η απειλή ή η πίεση για άμεση ανταπόκριση είναι ένα ακόμη σημάδι μιας πιθανής επίθεσης BEC . Οι επιτιθέμενοι μπορεί να προσποιηθούν ότι υπάρχει μια επείγουσα κατάσταση ή να απειλήσουν με νομικές συνέπειες αν δεν γίνει αμέσως αυτό που ζητούν. Αυτός ο τύπος πίεσης μπορεί να είναι ένα σημάδι ότι κάτι δεν είναι σωστό και ότι πρέπει να γίνει προσεκτική ανάλυση πριν αποφασιστεί οποιαδήποτε ενέργεια.
Πηγή: bleepingcomputer
