Gli aggressori cibernetici sfruttano Microsoft per distribuire app dannose nel Regno Unito.
Gli esperti di Proofpoint, società di sicurezza informatica californiana, hanno scoperto una nuova campagna cyber che coinvolge applicazioni OAuth di terze parti pericolose, utilizzate per infiltrarsi negli ambienti cloud delle organizzazioni. Gli attori delle minacce hanno soddisfatto i requisiti di Microsoft per le app OAuth di terze parti abusando dello status di “editore verificato” (verified publisher) di Microsoft.
Non è la prima volta che gli hacker prendono di mira gli utenti inglesi sfruttando l’autorevolezza del colosso di Redmond. Secondo i ricercatori di Proofpoint, lo scorso settembre i cybercriminali in occasione dei funerali della Regina Elisabetta hanno diffuso messaggi che sembravano provenire da Microsoft: invitavano i destinatari a partecipare ad una bacheca virtuale in onore della sovrana cliccando su un link per inviare un messaggio di condoglianze destinato alla famiglia reale in occasione dei funerali. Il link malevolo chiedeva però di inserire le proprie credenziali di accesso, una tattica per rubare i dati, ha riportato l’Ansa.
Tutti i dettagli.
LA CAMPAGNA DI PROLIFICAZIONE DI APP DANNOSE NEL REGNO UNITO
In questa campagna, scoperta da Proofpoint il 6 dicembre 2022, gli attori delle minacce hanno abusato del brand, dell’impersonificazione delle app e altre tattiche di social engineering per attirare l’attenzione degli utenti e indurli ad autorizzare le app dannose.
Secondo la società americana, la campagna sembrava essere rivolta principalmente a organizzazioni e individui con sede nel Regno Unito.
GLI HACKER SFRUTTANO LO STATUS DI PUBLISHER VERIFIED DI MICROSOFT
“Publisher verified” o “verified publisher” è uno status che un account Microsoft può ottenere quando “l’editore dell’app ha verificato la propria identità utilizzando il proprio account Microsoft Partner Network (MPN), associandolo alla registrazione dell’app” (per evitare confusione, un “verified publisher” non ha nulla a che fare con l’applicazione desktop Microsoft Publisher, che è inclusa in alcuni livelli di Microsoft 365).
La documentazione di Microsoft chiarisce poi che “quando l’editore di un’app è stato verificato, nel prompt di consenso di Azure Active Directory (Azure AD) per l’app e in altre pagine web appare un badge blu di verifica”. Si noti che Microsoft si riferisce alle app OAuth create da organizzazioni di terze parti, note come “editori” nell’ambiente Microsoft.
GLI UTENTI COLPITI
Tra gli utenti colpiti, risorse dei settori finanziario e marketing, e ruoli di alto profilo come manager e dirigenti, secondo Proofpoint.
RISCHIO DI ESFILTRAZIONE DEI DATI E NON SOLO
L’impatto potenziale di questa campagna dannosa comprende l’esfiltrazione dei dati, l’abuso del marchio e autorizzazioni delegate su caselle di posta, calendari e riunioni degli utenti compromessi.
IL PARERE DEGLI ESPERTI DI SICUREZZA INFORMATICA
“Questo attacco aveva meno probabilità di essere rilevato rispetto al phishing mirato tradizionale o agli attacchi brute force, in quanto le aziende hanno in genere controlli di difesa in profondità più deboli dagli attori di minacce che utilizzano app OAuth verificate,” sottolineano i ricercatori di Proofpoint. “Le organizzazioni sono quindi incoraggiate a utilizzare soluzioni di sicurezza cloud in grado di rilevare e revocare automaticamente le app OAuth di terze parti pericolose dai loro ambienti.”
Articoli correlati
Le news su Bianca Berlinguer, Bima (Crt), Carrozza, Fassino, Open di Mentana, Palenzona e non solo
Ecco top manager e giornalisti alla corte di Meloni
Ecco come i conti in rosso di Boeing battono le attese
Tutti i sistemi di attacco e difesa aerea di Israele e Iran
