- Регистрация
- 05.12.13
- Сообщения
- 1,162
- Реакции
- 992
- Депозит
- 0
- Покупок
-
3
- Продаж
-
3
Новая фишинговая кампания использует вредоносные расширения (add-in) к Office 365, с помощью которых у пользователей вместо логинов и паролей выманивается полный доступ к их аккаунтам.
Такого мы еще не видели
Эксперты по информационной безопасности компании PhishLabs обнаружили весьма оригинальную фишинговую кампанию, целью которой является получение контроля над аккаунтом в Microsoft Office 365. При этом вместо обычных в таких случаях попыток выманить логины и пароли злоумышленники используют вредоносную программу, которая «ненавязчиво» получает все разрешения на доступ к аккаунту жертвы и перехватывает токены авторизации OAuth. Подобную тактику эксперты наблюдают, по их словам, впервые.
Атака начинается с того, что потенциальной жертве направляется фишинговое письмо от имени легитимной организации. В письме содержится ссылка на скачивание важного документа, расшаренного через SharePoint или OneDrive.
Как отмечается в публикации Phishlabs, имя хоста — совершенно легитимное; это действительно ресурс, принадлежащий Microsoft.
Однако при переходе по ссылке сначала выводится экран входа в аккаунт Office365, а затем еще один экран, где легко заметить, что некое расширение для Office 365 запрашивает разрешение на получение доступа ко всем данным пользовательского аккаунта.
Теперь ему можно все
Вредоносное расширение (add-in) было создано 25 ноября 2019 г. с использованием реквизитов легитимной организации; вероятнее всего, ее скомпрометировали ранее.
Что вызывает особую обеспокоенность у экспертов, так это проблематичность исправления ситуации. Во-первых, производится практически полная компрометация аккаунта. Злоумышленник получает доступ ко всем документам, хотя, например, отправлять письма от имени жертвы не получится.
Во-вторых, простой смены пароля к аккаунту будет недостаточно. Потребуется отключение вредоносного расширения от самого аккаунта. При этом еще надо знать о том, что это приложение было вообще установлено: экран с разрешениями — единственное, чем оно себя до поры до времени выдает. Зато разработчики приложения сразу же получают токен OAuth и, как следствие, доступ ко всем данным и службам, которыми пользуется пострадавший, использующий данный метод авторизации.
Такого мы еще не видели
Эксперты по информационной безопасности компании PhishLabs обнаружили весьма оригинальную фишинговую кампанию, целью которой является получение контроля над аккаунтом в Microsoft Office 365. При этом вместо обычных в таких случаях попыток выманить логины и пароли злоумышленники используют вредоносную программу, которая «ненавязчиво» получает все разрешения на доступ к аккаунту жертвы и перехватывает токены авторизации OAuth. Подобную тактику эксперты наблюдают, по их словам, впервые.
Атака начинается с того, что потенциальной жертве направляется фишинговое письмо от имени легитимной организации. В письме содержится ссылка на скачивание важного документа, расшаренного через SharePoint или OneDrive.
Как отмечается в публикации Phishlabs, имя хоста — совершенно легитимное; это действительно ресурс, принадлежащий Microsoft.
Однако при переходе по ссылке сначала выводится экран входа в аккаунт Office365, а затем еще один экран, где легко заметить, что некое расширение для Office 365 запрашивает разрешение на получение доступа ко всем данным пользовательского аккаунта.
Теперь ему можно все
Вредоносное расширение (add-in) было создано 25 ноября 2019 г. с использованием реквизитов легитимной организации; вероятнее всего, ее скомпрометировали ранее.
Что вызывает особую обеспокоенность у экспертов, так это проблематичность исправления ситуации. Во-первых, производится практически полная компрометация аккаунта. Злоумышленник получает доступ ко всем документам, хотя, например, отправлять письма от имени жертвы не получится.
Во-вторых, простой смены пароля к аккаунту будет недостаточно. Потребуется отключение вредоносного расширения от самого аккаунта. При этом еще надо знать о том, что это приложение было вообще установлено: экран с разрешениями — единственное, чем оно себя до поры до времени выдает. Зато разработчики приложения сразу же получают токен OAuth и, как следствие, доступ ко всем данным и службам, которыми пользуется пострадавший, использующий данный метод авторизации.
