Vários locatários de nuvem que hospedam servidores Microsoft Exchange foram comprometidos por agentes mal-intencionados que usam aplicativos OAuth para espalhar spam.
Microsoft Exchange Servers usados para espalhar spam
Em 23 de setembro de 2022, foi declarado em um Postagem no blog de segurança da Microsoft que o invasor "agente de ameaça lançou ataques de preenchimento de credenciais contra contas de alto risco que não tinham autenticação multifator (MFA) habilitou e aproveitou as contas de administrador não seguras para obter acesso inicial".
Ao acessar o locatário da nuvem, o invasor conseguiu registrar um aplicativo OAuth falso com permissões elevadas. O invasor então adicionou um conector de entrada malicioso no servidor, bem como regras de transporte, o que lhes deu a capacidade de espalhar spam por meio de domínios de destino, evitando a detecção. O conector de entrada e as regras de transporte também foram excluídos entre cada campanha para ajudar o invasor a passar despercebido.
Para executar esse ataque, o agente da ameaça conseguiu tirar proveito de contas de alto risco que não usavam autenticação multifator. Esse spam fazia parte de um esquema usado para induzir as vítimas a se inscreverem em assinaturas de longo prazo.
Protocolo de autenticação OAuth cada vez mais usado em ataques
Na postagem do blog mencionada acima, a Microsoft também afirmou que está "monitorando a crescente popularidade do abuso de aplicativos OAuth". OAuth é um protocolo que é usado para consentir em sites ou aplicativos sem a necessidade de revelar sua senha. Mas esse protocolo foi abusado por um agente de ameaças várias vezes para roubar dados e fundos.
Anteriormente, agentes mal-intencionados usavam um aplicativo OAuth malicioso em um esquema conhecido como "phishing de consentimento". Isso envolvia enganar as vítimas para que concedessem certas permissões a aplicativos OAuth nocivos. Com isso, o invasor pode acessar os serviços em nuvem das vítimas. Nos últimos anos, mais e mais cibercriminosos têm usado aplicativos OAuth maliciosos para fraudar usuários, às vezes para realizar phishing e, às vezes, para outros fins, como backdoors e redirecionamentos.
O ator por trás deste ataque já executou campanhas de spam anteriores
A Microsoft descobriu que o agente da ameaça responsável pelo ataque ao Exchange estava executando campanhas de e-mail de spam há algum tempo. Foi afirmado no mesmo Postagem no blog de segurança da Microsoft que há duas marcas associadas a esse invasor. O agente da ameaça "gera programaticamente [s] mensagens contendo duas imagens visíveis com hiperlinks no e-mail corpo" e usa "conteúdo dinâmico e aleatório injetado no corpo HTML de cada mensagem de e-mail para evitar spam filtros".
Embora essas campanhas tenham sido usadas para acessar informações de cartão de crédito e induzir os usuários a iniciar pagamentos assinaturas, a Microsoft afirmou que não parece haver mais nenhuma ameaça de segurança representada por este atacante.
Aplicativos legítimos continuam a ser explorados por invasores
A criação de versões falsas e maliciosas de aplicativos confiáveis não é novidade no espaço do cibercrime. Usar um nome legítimo para enganar as vítimas tem sido um método de fraude favorito por muitos anos, com pessoas em todo o mundo caindo diariamente em tais fraudes. É por isso que é fundamental que todos os usuários da Internet empreguem medidas de segurança adequadas (incluindo autenticação multifator) em suas contas e dispositivos para que as chances de se deparar com um ataque cibernético estão abaixados.
