A Microsoft emitiu um alerta sobre adversários que estão utilizando aplicações OAuth como uma ferramenta de automação para implantar máquinas virtuais (VMs) para mineração de criptomoedas e lançar ataques de phishing.
A equipe de Inteligência de Ameaças da Microsoft detalhou que os atores de ameaças comprometem contas de usuários para criar, modificar e conceder altos privilégios a aplicações OAuth, que podem ser mal utilizadas para ocultar atividades maliciosas.
OAuth, abreviação de Open Authorization, é um framework de autorização e delegação que permite que aplicações acessem informações de outros sites de forma segura, sem compartilhar senhas. Nos ataques descritos pela Microsoft, os atores de ameaças lançaram ataques de phishing ou pulverização de senhas contra contas mal protegidas com permissões para criar ou modificar aplicações OAuth.
Um desses adversários, identificado como Storm-1283, usou uma conta de usuário comprometida para criar uma aplicação OAuth e implantar VMs para mineração de criptomoedas. Além disso, os atacantes modificaram aplicações OAuth existentes às quais a conta tinha acesso, adicionando um conjunto extra de credenciais para facilitar os mesmos objetivos.
Em outro caso, um ator não identificado comprometeu contas de usuários e criou aplicações OAuth para manter a persistência e lançar ataques de phishing por e-mail, utilizando um kit de phishing “adversário-no-meio” (AiTM) para roubar cookies de sessão e contornar medidas de autenticação.
Outros cenários detectados pela Microsoft após o roubo de cookies de sessão envolvem a criação de aplicações OAuth para distribuir e-mails de phishing e realizar atividades de spam em larga escala. A Microsoft está rastreando este último caso como Storm-1286.