0
0
Os atacantes estão mirando os usuários do Microsoft Office 365 com um ataque temático da Coinbase, com o objetivo de assumir o controle de suas caixas de entrada via OAuth.
Os usuários do Office 365 estão recebendo e-mails que pretendem vir da plataforma de criptomoedas Coinbase, que pedem que eles baixem termos de serviço atualizados através de um aplicativo de consentimento OAuth. Mas quando eles concordam em fazê-lo, os usuários estão, sem saber, dando aos atacantes acesso total ao seu e-mail.
O OAuth é um padrão aberto para autenticação e autorização baseada em tokens, que permite que as informações da conta de um usuário sejam usadas por serviços de terceiros sem expor sua senha. Por exemplo, em vez de optar por criar uma nova conta do zero, os usuários podem decidir entrar em um site usando uma opção “Faça login com o Google” ou “Faça login com o Facebook”.
No entanto, esse recurso – que coloca caixas de correio de vítimas nuas – também atraiu cibercriminosos, que usam o OAuth para obter permissões usando aplicativos de terceiros maliciosos. Esses tipos de ataques de “consentimento” não são novos, mas a tática está ganhando terreno, como visto neste incidente em particular, disseram pesquisadores em uma análise.
“Vimos ataques baseados em aplicativos de consentimento desde o início deste ano”, disse Stu Sjouwerman, CEO da KnowBe4, em uma análise de terça-feira. “Os usuários precisam ser educados por meio de treinamento de conscientização de segurança que eles devem estar procurando por esses tipos de ataques e apenas conceder acesso a editores de aplicativos legítimos (como o Outlook para dispositivos móveis).”
Neste ataque em particular, os usuários recebem um e-mail personificando a Coinbase, uma plataforma que permite que os usuários comprem e vendam criptomoedas como o Bitcoin. Possui 35 milhões de usuários – tornando-se um público-alvo considerável para atacantes. O e-mail também pede que os usuários atualizem seus Termos de Serviço. Aqui, os atacantes estão apostando que estão mirando os usuários do Office 365 que também são usuários da Coinbase, disseram os pesquisadores.
Ao clicar no link no e-mail para revisar os novos Termos de Serviço, os usuários são então levados para uma página de login legítima do Office 365, disseram os pesquisadores.
Em seguida, eles são apresentados com o pedido de consentimento da OAuth para acesso de leitura e gravação às suas caixas de correio, e-mails, perfis e outras informações, citando “coinbaseterms.app” como solicitante – mantendo-se com o ardil de que a solicitação é da Coinbase como parte de seus Termos de Serviço atualizados.
Se os usuários do Office 365 caírem nesse truque e clicarem em “sim”, eles estão involuntariamente dando aos atacantes acesso às suas caixas de entrada, permitindo que eles visualizem dados confidenciais, usem seu e-mail em ataques subsequentes de phishing ou spearphishing e outros propósitos maliciosos.
“Uma vez que o acesso é concedido, o aplicativo agora tem acesso para ler os e-mails da vítima, excluir mensagens e muito mais”, disseram os pesquisadores. “A única maneira de remover o acesso é administrativamente.”
A Microsoft já alertou sobre aplicativos arriscados do OAuth, em julho, alertando que o trabalho remoto generalizado e o aumento do uso de aplicativos de colaboração estão levando os atacantes a aumentar os ataques baseados em aplicativos que exploram o OAuth.
“Quando os usuários instalam esses aplicativos, eles geralmente clicam em aceitar sem revisar de perto os detalhes no prompt, incluindo a concessão de permissões ao aplicativo”, disse a Microsoft em um post anterior. “Aceitar permissões de aplicativos de terceiros é um risco potencial de segurança para sua organização.”
Em setembro, um APT conhecido como TA2552 foi visto usando o OAuth ou outros métodos de autorização baseados em tokens para acessar contas do Office 365, a fim de roubar os contatos e e-mails dos usuários.
Em outro incidente, divulgado em outubro,uma unidade de pesquisa médica de uma universidade foi alvo de uma isca de phishing que promoveu um aplicativo gratuito de otimização de calendário e gerenciamento de tempo. Depois que uma pessoa mordeu a isca e instalou o aplicativo malicioso OAuth, os atacantes tiveram acesso completo ao Office 365 e o usaram para enviar e-mails internos de phishing, aproveitando identidades e comunicações confiáveis para se espalharem ainda mais dentro da universidade.
A Microsoft, por sua vez, recomenda que os usuários investiguem quaisquer aplicativos OAuth usando as habilidades e informações fornecidas no portal Cloud App Security (oferta de segurança da Microsoft para seus aplicativos em nuvem) para filtrar aplicativos com uma baixa chance de serem arriscados e se concentrar nos aplicativos suspeitos. A gigante da tecnologia também alertou os usuários para estarem atentos aos seguintes sinais de um aplicativo OAuth arriscado:
- Quanto menos comum ou usado um aplicativo for, menor a probabilidade de ser seguro.
- Um aplicativo deve exigir apenas permissões relacionadas ao propósito do aplicativo. Se não for esse o caso, o aplicativo pode potencialmente ser arriscado.
- Aplicativos que requerem privilégios elevados ou consentimento administrativo são mais propensos a serem arriscados.
Threatpost entrou em contato com a Microsoft e a Coinbase para mais comentários sobre este incidente.
FONTE: THREATPOST