Plusieurs locataires cloud hébergeant des serveurs Microsoft Exchange ont été compromis par des acteurs malveillants utilisant des applications OAuth pour diffuser du spam.
Serveurs Microsoft Exchange utilisés pour diffuser du spam
Le 23 septembre 2022, il a été déclaré dans un Article de blog sur la sécurité Microsoft que l'attaquant "l'acteur de la menace a lancé des attaques de bourrage d'informations d'identification contre des comptes à haut risque qui n'avaient pas authentification multifacteur (MFA) activé et exploité les comptes d'administrateur non sécurisés pour obtenir un accès initial".
En accédant au locataire cloud, l'attaquant a pu enregistrer une fausse application OAuth avec des autorisations élevées. L'attaquant a ensuite ajouté un connecteur entrant malveillant au sein du serveur, ainsi que des règles de transport, ce qui lui a permis de diffuser du spam via des domaines ciblés tout en évitant la détection. Le connecteur entrant et les règles de transport ont également été supprimés entre chaque campagne pour aider l'attaquant à voler sous le radar.
Pour exécuter cette attaque, l'auteur de la menace a pu profiter de comptes à haut risque qui n'utilisaient pas l'authentification multifacteur. Ce spam faisait partie d'un stratagème utilisé pour inciter les victimes à souscrire à des abonnements à long terme.
Le protocole d'authentification OAuth est de plus en plus utilisé dans les attaques
Dans le billet de blog susmentionné, Microsoft a également déclaré qu'il "surveillait la popularité croissante de l'utilisation abusive des applications OAuth". OAuth est un protocole qui est utilisé pour consentir à des sites Web ou des applications sans avoir à révéler votre mot de passe. Mais ce protocole a été abusé à plusieurs reprises par un acteur malveillant pour voler des données et des fonds.
Auparavant, les acteurs malveillants utilisaient une application OAuth malveillante dans une arnaque connue sous le nom de "hameçonnage de consentement". Cela impliquait d'inciter les victimes à accorder certaines autorisations à des applications OAuth nuisibles. Grâce à cela, l'attaquant pourrait accéder aux services cloud des victimes. Ces dernières années, de plus en plus de cybercriminels ont utilisé des applications OAuth malveillantes pour escroquer utilisateurs, parfois pour effectuer du phishing, et parfois à d'autres fins, telles que des portes dérobées et redirections.
L'acteur derrière cette attaque a mené de précédentes campagnes de spam
Microsoft a découvert que l'acteur de la menace responsable de l'attaque Exchange menait des campagnes de spam depuis un certain temps. Il était indiqué dans le même Article de blog sur la sécurité Microsoft qu'il y a deux caractéristiques associées à cet attaquant. L'auteur de la menace "génère par programme[s] des messages contenant deux images hyperliens visibles dans l'e-mail corps", et utilise "un contenu dynamique et aléatoire injecté dans le corps HTML de chaque message électronique pour éviter le spam filtres".
Bien que ces campagnes aient été utilisées pour accéder aux informations de carte de crédit et inciter les utilisateurs à commencer à payer abonnements, Microsoft a déclaré qu'il ne semble pas y avoir d'autres menaces de sécurité posées par ce particulier attaquant.
Les applications légitimes continuent d'être exploitées par des attaquants
La création de fausses versions malveillantes d'applications de confiance n'a rien de nouveau dans le domaine de la cybercriminalité. L'utilisation d'un nom légitime pour tromper les victimes est une méthode d'escroquerie préférée depuis de nombreuses années, des personnes du monde entier tombant quotidiennement dans de telles escroqueries. C'est pourquoi il est primordial que tous les internautes utilisent des mesures de sécurité adéquates (y compris authentification multifacteur) sur leurs comptes et appareils afin que les chances de se heurter à une cyberattaque sont abaissés.