A gigante de tecnologia Microsoft alertou que hackers estão usando aplicativos OAuth como uma ferramenta de automação para implantar máquinas virtuais (VMs) para mineração de criptomoedas e lançar ataques de phishing.
“Os agentes de ameaças comprometem contas de usuários para criar, modificar e conceder privilégios elevados a aplicativos OAuth que eles podem usar indevidamente para ocultar atividades maliciosas”, disse a equipe de Inteligência de Ameaças da Microsoft.
Ainda segundo a equipe, o uso indevido do OAuth permite que os agentes de ameaças mantenham o acesso aos aplicativos mesmo que percam o acesso à conta inicialmente comprometida.
OAuth, abreviação de Open Authorization, é um padrão aberto para autenticação e autorização baseada em token. A solução permite que aplicativos obtenham acesso a dados e recursos com base em permissões definidas por um usuário.
Confira nossas sugestões de Pre-Sales para investir agora
Microsoft alerta para ataques
De acordo com o alerta da Microsoft, agentes de ameaças lançaram ataques de phishing ou de pulverização de senhas contra contas mal protegidas com permissões para criar ou modificar aplicativos OAuth.
Uma das ameaças é o Storm-1283. O programa aproveitou uma conta de usuário comprometida para criar um aplicativo OAuth e implantar VMs para mineração de criptomoedas. Além disso, os invasores modificaram os aplicativos OAuth existentes, adicionando um conjunto extra de credenciais para facilitar os mesmos objetivos.
Em outro caso, um hacker comprometeu contas de usuários e criou aplicativos OAuth para lançar ataques de phishing por e-mail.
“Em alguns casos, após a atividade de repetição do cookie de sessão roubada, o ator aproveitou a conta de usuário comprometida para realizar fraude financeira abrindo anexos de e-mail no Microsoft Outlook Web Application (OWA) que contêm palavras-chave específicas, como ‘pagamento’ e ‘fatura'”, disse a Microsoft.
Para mitigar os riscos associados a tais ataques, recomenda-se que as organizações apliquem a autenticação multifator (MFA). Além disso, deve habilitar políticas de acesso condicional e auditar rotineiramente aplicativos e permissões.