A maioria das campanhas de phishing tenta assumir contas enganando a vítima para divulgar suas credenciais. O PhishLabs descobriu uma tática inédita dos invasores que usa um aplicativo malicioso do Microsoft Office 365 para obter acesso à conta da vítima sem exigir que eles entreguem suas credenciais aos atacantes.
Nessa técnica, o invasor envia uma mensagem de phishing tradicional representando um compartilhamento de arquivo interno do SharePoint e OneDrive que usa a engenharia social para coagir a vítima a clicar em um link incorporado.
Esse ataque é semelhante ao que o Google resolveu em 2017 , onde um agente de ameaças abusou do recurso de aplicativo do Google Docs. Nesse ataque, mais de um milhão de usuários do Google Docs foram impactados pelo esquema de phishing que levou o ator a obter acesso total às contas de email e seus contatos.
A atração em si não é nada de especial; os temas e as táticas de engenharia social presentes são bem conhecidos no setor. O agente de ameaças usa a credibilidade de um processo de negócios comumente visto, que desarma a vítima. No entanto, a carga útil da atração é o seguinte link:
hXXps: // faça login {dot} microsoftonline {dot} com / common / oauth2 / v2.0 / authorize?% 20client_id = fc5d3843-d0e8-4c3f-b0ee-6d407f667751 & response_type = id_token + code & redirect_uri = https% 3A% 2F% 2F %F % 3A8081% 2Foffice & scope = offline_access% 20contacts.read% 20user.read% 20mail.read% 20notes.read.all% 20mailboxsettings.readwrite% 20Files.ReadWrite.All% 20openid% 20profile & state = 12345Ajtwmd & response_mode =% 20form_postYYMY
O nome do host login.microsoftonline.com é legítimo e controlado pela Microsoft. Se você visitar o link e ainda não estiver conectado a uma conta do Office365, será apresentada a página de login legítima da Microsoft.
Depois de fazer o login (ou, se você já estava conectado anteriormente), você verá o seguinte:
Uma rápida leitura das permissões que este aplicativo está solicitando alertará qualquer profissional de segurança. A aprovação do acesso a este aplicativo concede efetivamente o controle total da sua conta do Office 365 ao invasor. Isso é tudo, desde conceder acesso à sua caixa de entrada, seus contatos e quaisquer arquivos aos quais você tenha acesso no OneDrive.
O suplemento malicioso foi criado em 25/11/2019 usando as informações de uma organização legítima. Provavelmente, devido à organização ter sido comprometida anteriormente, permitindo que os atacantes aproveitem suas credenciais de desenvolvimento na criação do aplicativo.
Além disso, simplesmente alterar a senha da conta (a tática de resposta mais comum a uma possível violação) não será suficiente para desalojar o invasor. Para fechar essa violação, o aplicativo precisa ser desconectado da conta.
Abusando do recurso de suplementos do Office da Microsoft
Por padrão, qualquer usuário pode aplicar suplementos ao aplicativo do Outlook . Além disso, a Microsoft permite que os suplementos e aplicativos do Office 365 sejam instalados via carregamento lateral sem passar pela Office Store e, assim, evitar qualquer processo de revisão. Isso significa que um agente de ameaça pode entregar um aplicativo mal-intencionado da infraestrutura que ele controla para qualquer usuário que clica em uma URL e aprova as permissões solicitadas. Nesse caso, o resultado é um controle completo sobre sua conta do Office 365 e, por extensão, qualquer sistema que utilize um método SSO baseado na conta do Office 365 do usuário, como SAML ou OAuth.
Suplementos para Outlook são aplicativos que estendem a utilidade do Outlook para clientes, adicionando informações ou ferramentas que seus usuários podem usar sem precisar sair do Outlook. Os suplementos são criados por desenvolvedores de terceiros e podem ser instalados a partir de um arquivo ou URL ou da Office Store. Por padrão, todos os usuários podem instalar suplementos. Os administradores do Exchange Online podem controlar se os usuários podem instalar suplementos para o Office.
Aplicativos carregados de lado também não exigem Termos de Serviço ou Declarações de Privacidade, como a tela de permissão do aplicativo parece indicar.
Aceitar essas permissões significa que você permite que este aplicativo use seus dados conforme especificado nos termos de serviço e na declaração de privacidade. O editor não forneceu links para seus termos para você revisar.
Indicadores Observados
Os seguintes indicadores foram observados nesta campanha ativa:
Informações sobre o domínio
O aplicativo mal-intencionado é carregado via URL e está localizado em hXXps: // officemtr {dot} com: 8081 / office
Exemplo de linha de assunto
O arquivo ” Relatório do quarto trimestre [Nome da empresa] – 19 de dezembro (1) .xlsx” foi compartilhado com você.
Endereço do remetente falsificado
O endereço de envio é falsificado. No entanto, foram observados emails originários de um servidor de correio em 31.7.59.82.
Anexos
Atualmente, não observamos nenhum anexo malicioso associado a esta campanha. A atração por phishing pretende usar um documento do Excel do OneDrive que seria acessível clicando em um link.
Lidando com a ameaça
Recomendamos o uso dos indicadores acima para bloquear a entrega dessa ameaça, localizar emails associados que já foram entregues e removê-los das caixas de entrada do usuário. Esse processo é automatizado para as organizações atualmente inscritas na Resposta a Incidentes de Email do PhishLabs , que já estão protegidas contra essa ameaça, que protege contra ameaças que chegam às caixas de entrada dos usuários.
As recomendações adicionais incluem:
- Restrinja a capacidade dos usuários do Office 365 de instalar aplicativos que não são baixados da Office Store oficial ou da lista de permissões por um administrador.
- Incorpore conteúdo ao treinamento de conscientização de segurança do usuário final, que ensina como examinar TODOS os aspectos de um email em busca de sinalizadores vermelhos, não apenas URLs e endereço do remetente, pois eles podem não ser suficientes em ataques de phishing nos quais serviços legítimos são abusados.
- Incorpore etapas de correção para esse método de ataque ao seu plano de resposta a incidentes. Os métodos tradicionais de correção do Office 365 comprometido, como alterações de senha, sessões de limpeza ou ativação da autenticação multifator (MFA), não são eficazes para esse método de ataque.
- Revise proativamente os aplicativos ou suplementos instalados em seu ambiente. Para obter mais informações, consulte o tutorial da Microsoft sobre a investigação de aplicativos arriscados
FONTE: PHISHLABS