Cibercriminosos estão tentando comprometer contas do Microsoft 365 por meio de aplicativos OAuth maliciosos disfarçados de “Adobe Drive”, “Adobe Acrobat” e “Docusign”. A Proofpoint alerta que esses aplicativos são usados para redirecionar vítimas a páginas de phishing, onde são induzidas a conceder permissões aos invasores. Para evitar suspeitas, os aplicativos pedem apenas acesso básico a perfis de usuários, incluindo nome, ID, foto, nome de usuário, endereço de e-mail e OpenID.
Leia também
Pesquisador executa ataque em vulnerabilidade de passkey
Google cria selo para identificar VPNs confiáveis
A campanha de phishing, criada em nome de instituições de caridade ou pequenas empresas, utiliza contas comprometidas do Office 365 para parecer legítima. Os alvos incluem organizações governamentais, instituições de saúde, fornecedores e varejistas na Europa e nos Estados Unidos. Quando as vítimas acessam a página fraudulenta, que imita um login do Office 365, e inserem suas credenciais, os invasores rapidamente acessam suas contas, com atividades suspeitas sendo detectadas em menos de um minuto após o login.
Além do roubo de credenciais, os invasores também tentam distribuir malware por meio do ataque “ClickFix”. Nesse método, as vítimas são orientadas a completar etapas de verificação que, na verdade, inserem comandos no terminal do sistema para baixar e instalar malware. Esse ataque pode comprometer dispositivos, abrir brechas para mais invasões e facilitar futuras campanhas maliciosas.
