Спецпроекты

Злоумышленники удивили экспертов хитроумной атакой на MS Office 365

2258
Безопасность Бизнес Интернет

Новая фишинговая кампания использует вредоносные расширения (add-in) к Office 365, с помощью которых у пользователей вместо логинов и паролей выманивается полный доступ к их аккаунтам.


Такого мы еще не видели

Эксперты по информационной безопасности компании PhishLabs обнаружили весьма оригинальную фишинговую кампанию, целью которой является получение контроля над аккаунтом в Microsoft Office 365. При этом вместо обычных в таких случаях попыток выманить логины и пароли злоумышленники используют вредоносную программу, которая «ненавязчиво» получает все разрешения на доступ к аккаунту жертвы и перехватывает токены авторизации OAuth. Подобную тактику эксперты наблюдают, по их словам, впервые.

Атака начинается с того, что потенциальной жертве направляется фишинговое письмо от имени легитимной организации. В письме содержится ссылка на скачивание важного документа, расшаренного через SharePoint или OneDrive.

Как отмечается в публикации Phishlabs, имя хоста — совершенно легитимное; это действительно ресурс, принадлежащий Microsoft.

Однако при переходе по ссылке сначала выводится экран входа в аккаунт Office365, а затем еще один экран — следующего вида.

bp500.jpg
Так выглядит ловушка для пользователя

Как легко заметить, это некое расширение для Office 365 запрашивает разрешение на получение доступа ко всем данным пользовательского аккаунта.

Теперь ему можно все

Вредоносное расширение (add-in) было создано 25 ноября 2019 г. с использованием реквизитов легитимной организации; вероятнее всего, ее скомпрометировали ранее.

Что вызывает особую обеспокоенность у экспертов, так это проблематичность исправления ситуации. Во-первых, производится практически полная компрометация аккаунта. Злоумышленник получает доступ ко всем документам, хотя, например, отправлять письма от имени жертвы не получится.

Во-вторых, простой смены пароля к аккаунту будет недостаточно. Потребуется отключение вредоносного расширения от самого аккаунта. При этом еще надо знать о том, что это приложение было вообще установлено: экран с разрешениями — единственное, чем оно себя до поры до времени выдает. Зато разработчики приложения сразу же получают токен OAuth и, как следствие, доступ ко всем данным и службам, которыми пользуется пострадавший, использующий данный метод авторизации.

«На руку злоумышленникам играет, в частности, тот факт, что устанавливать расширения (add-in) к Office 365 по умолчанию могут все пользователи и практически откуда угодно, то есть, никакого контроля и проверки их безопасности, по умолчанию, не производится, — отмечает Алексей Водясов, эксперт по информационной безопасности компании SEC Consult Services. — Для противодействия этому администраторам корпоративных сетей стоит выставить ограничение на установку непроверенных приложений из неофициальных источников или вовсе устанавливать необходимые расширения централизованно с запретом на установку любых других конечными пользователями. А кроме того, сегодня совершенно необходимо регулярно тренировать пользователей распознавать фишинговые письма. В конечном счете, человеческий мозг — самый совершенный фильтр для подобного рода угроз. Но он же может быть самой уязвимой точкой информационной системы».