Microsoft Avverte: Attacchi di Phishing e Mining di Criptovalute sfruttano OAuth
Microsoft ha recentemente lanciato un avviso in merito a pericolosi attacchi informatici che abusano delle applicazioni OAuth per scopi malevoli, compresi il phishing e il mining di criptovalute. Secondo il team di Intelligence delle Minacce di Microsoft, gli attaccanti compromettono gli account utente per ottenere accesso alle applicazioni OAuth, sfruttandole per nascondere attività dannose e mantenere l’accesso anche dopo la perdita dell’account compromesso iniziale.
OAuth, noto come Open Authorization, è un framework di autorizzazione che consente alle applicazioni di accedere in modo sicuro alle informazioni da altri siti web senza richiedere le password degli utenti.
Nel dettaglio degli attacchi riportato da Microsoft, gli aggressori hanno dimostrato di utilizzare attacchi di phishing o di password-spraying su account poco sicuri con autorizzazioni per creare o modificare applicazioni OAuth.
Uno dei gruppi identificati, denominato Storm-1283, ha sfruttato un account utente compromesso per creare un’applicazione OAuth e sfruttare macchine virtuali (VM) per il mining di criptovalute. Inoltre, hanno apportato modifiche a delle applicazioni OAuth esistenti, aggiungendo ulteriori credenziali per raggiungere gli stessi obiettivi malevoli.
Un altro scenario ha visto un attore sconosciuto compromettere account utente e creare applicazioni OAuth per mantenere l’accesso e lanciare attacchi di phishing via email. Questi attacchi sfruttavano un kit di phishing adversary-in-the-middle (AiTM) per rubare i cookie di sessione e superare le misure di autenticazione.
Microsoft ha evidenziato che, in alcuni casi, gli attaccanti hanno sfruttato cookie di sessione rubati per eseguire frodi finanziarie attraverso l’apertura di allegati email che contenevano parole chiave specifiche come ‘pagamento’ e ‘fattura’.
Per mitigare questi rischi, è consigliato alle organizzazioni di imporre l’uso dell’autenticazione multi-fattore (MFA), abilitare politiche di accesso condizionale e condurre regolari verifiche sulle applicazioni e le autorizzazioni concesse.
Questo avviso di Microsoft è un richiamo importante sull’importanza della sicurezza online e della protezione delle credenziali contro gli attacchi informatici sempre più sofisticati e pericolosi.