Мошенники крадут данные через поддельные приложения Adobe и DocuSign

Злоумышленники начали использовать поддельные OAuth-приложения, выдавая их за официальные сервисы Adobe и DocuSign, чтобы воровать учетные данные пользователей Microsoft 365. Эксперты компании Proofpoint назвали эти атаки «высокотаргетированными».

Фальшивые приложения маскируются под Adobe Drive, Adobe Acrobat и DocuSign. Они запрашивают доступ к базовым разрешениям — профилю, электронной почте и идентификатору OpenID. На первый взгляд — ничего подозрительного. Но как только пользователь дает разрешение, хакеры получают доступ к имени, фото профиля, основному адресу электронной почты и данным об учетной записи Microsoft.

Атаки проводились с взломанных почтовых аккаунтов небольших компаний и благотворительных организаций, скорее всего, на базе Office 365. Письма с вредоносными ссылками были направлены сотрудникам государственных учреждений, медучреждений, логистических компаний и розничных сетей в США и Европе. В них использовались приманки вроде запросов на коммерческое предложение (RFP) или контрактов.

После авторизации приложение перенаправляет жертву на поддельные страницы входа в Microsoft 365 или автоматически загружает вредоносное ПО. Proofpoint зафиксировала подозрительную активность на взломанных аккаунтах менее чем через минуту после подтверждения разрешений. Старые методы взлома по-прежнему работают — и OAuth-приложения остаются уязвимым местом для пользователей Microsoft 365.