I ricercatori di Proofpoint hanno osservato una nuova campagna dannosa denominata “OiVaVoii” che utilizza tenant di Office 365 violati e una sofisticata combinazione di esche intelligenti, app OAuth dannose e minacce di phishing mirate per attaccare gli account dei vertici aziendali.
Gli esperti hanno assistito ad acquisizioni di account (attraverso app OAuth dannose che rubano token OAuth e furto di credenziali) e osservato rischi DLP persistenti, phishing continuo, movimento laterale, abuso del marchio e proliferazione di malware.
I ricercatori hanno finora scoperto cinque applicazioni OAuth dannose attribuite alla campagna. Almeno tre di queste app sono state create da due diversi “editori verificati”, il che significa che il proprietario dell’app era probabilmente un account utente amministratore compromesso all’interno di un legittimo tenant di Office. Delle restanti due app, una risulta essere stata creata da un’organizzazione non verificata, il che potrebbe implicare lo sfruttamento di un (terzo) ambiente cloud dirottato o l’utilizzo di un tenant Office dannoso dedicato.
Gli attori malevoli, una volta create queste app, hanno poi inviato via e-mail le richieste di autorizzazione a numerosi dirigenti di alto livello. Molte vittime ignare hanno autorizzato queste applicazioni sulla base dell’identità apparentemente benigna dell’organizzazione editoriale utilizzata. Ciò ha permesso agli aggressori di generare token OAuth per conto dell’utente compromesso e completare l’acquisizione dell’account.
Alcune di queste app impersonano il software Microsoft, utilizzando la rappresentazione di icone. Potenzialmente utilizzano attacchi proxy MITM, il che significa che il furto delle credenziali potrebbe aver luogo nell’ambito del flusso di attacco, aumentando notevolmente il rischio di un’acquisizione completa dell’account e di una persistenza prolungata.
Tutte le app rilevate hanno richiesto autorizzazioni simili, relative principalmente all’accesso alle cassette postali (lettura e scrittura), consentendo loro di inviare messaggi di posta elettronica dannosi interni ed esterni, rubare informazioni preziose e creare regole per le cassette postali.
L’alta percentuale dei target presi di mira e compromessi riguarda i dirigenti di livello C, inclusi CEO, membri del consiglio di amministrazione, ex membri del consiglio, presidenti e altri utenti di alto profilo.
Microsoft ha bloccato molte delle app. Tuttavia, mentre gli account degli editori originali rimangono compromessi, la campagna è ancora attiva.