Des apps OAuth malveillantes se font passer pour Adobe et DocuSign pour cibler Microsoft 365
Des chercheurs en sécurité ont fait la découverte d'une nouvelle campagne ciblant les utilisateurs de Microsoft 365 grâce à de fausses applications Microsoft OAuth qui reprennent l'identité d'Adobe et DocuSign. Faisons le point.
Des applications Microsoft OAuth malveillantes
De nouvelles informations publiées par les chercheurs en cybersécurité de Proofpoint mettent en garde les entreprises et les utilisateurs de Microsoft 365. Les attaquants utilisent de fausses applications OAuth, imitant des services populaires comme Adobe Drive, Adobe Drive X, Adobe Acrobat et DocuSign, pour voler des identifiants et diffuser des malwares.
Grâce aux applications OAuth, les cybercriminels peuvent obtenir des autorisations limitées, mais suffisantes pour exploiter les informations des victimes de façon discrète. Les applications malveillantes observées demandent l'accès aux permissions suivantes :
- Profil : nom complet, identifiant utilisateur, photo de profil, nom d'utilisateur.
- Email : adresse e-mail principale (sans accès à la boîte de réception).
- OpenID : permet de confirmer l'identité et d'accéder aux détails du compte Microsoft.
Si l'utilisateur se fait piéger et qu'il accorde ces permissions à l'application, les attaquants peuvent utiliser ces informations pour des attaques plus ciblées. L'attaque ne s'arrête pas là, puisque les applications redirigent les utilisateurs vers des pages de phishing ou déclenchent le téléchargement de malwares. Ainsi, les cybercriminels peuvent voler les identifiants Microsoft 365 de l'utilisateur.
Voici à quoi ressemblent ces demandes d'autorisations via les applications OAuth.
Des attaques ciblées en Europe et aux États-Unis
Proofpoint estiment que ces attaques sont très ciblées et que les cibles sont situées en Europe et aux États-Unis. Plusieurs secteurs sont évoqués par les chercheurs en sécurité, notamment le gouvernement, la santé et le commerce de détail. À l'heure actuelle, cette campagne n'a pas été attribuée à un groupe de cybercriminels spécifique. Néanmoins, elle repose sur la technique de social engineering ClickFix, très répandue ces derniers mois.
Pour tenter de piéger les victimes, les cybercriminels s'appuient sur des comptes Microsoft 365 déjà compromis, à partir desquels ils envoient des e-mails frauduleux. Dans certains cas, ces e-mails évoquent la signature d'un contrat pour inciter les destinataires à ouvrir les liens malveillants.
Les utilisateurs doivent rester vigilants face aux demandes d'autorisation des applications OAuth et toujours vérifier leur légitimité avant d'accepter. De leur côté, les administrateurs de tenants Microsoft 365 peuvent limiter les permissions en interdisant aux utilisateurs de consentir à des applications tierces via les paramètres de Microsoft Entra (voir cette page).