Proofpoint a identifié une campagne de phishing utilisant des applications OAuth de Microsoft falsifiées pour usurper l’identité de diverses entreprises telles que RingCentral, SharePoint, Adobe et DocuSign. Ces campagnes visent à obtenir un accès aux comptes Microsoft 365 en contournant l’authentification multifactorielle (MFA).
Les campagnes utilisent des kits de phishing attacker-in-the-middle (AiTM), notamment Tycoon, pour intercepter les identifiants et les jetons de session. Les attaques ont été observées dans des campagnes d’email impliquant plus de 50 applications usurpées et plusieurs kits de phishing.
En réponse, Microsoft a annoncé des mises à jour de sécurité pour bloquer les protocoles d’authentification hérités et exiger un consentement administrateur pour l’accès aux applications tierces. Ces mesures devraient réduire l’efficacité de ces attaques.
Des campagnes spécifiques ont été observées, telles que l’usurpation de ILSMart et Adobe, utilisant des URL de redirection malveillantes pour piéger les utilisateurs sur des pages d’authentification Microsoft contrefaites. Les applications malveillantes ont été autorisées par plus de deux douzaines d’utilisateurs dans plus de 20 locataires différents, bien que les prises de contrôle de comptes confirmées soient limitées.
Les indicateurs de compromission (IOCs) incluent des URL de redirection et des identifiants d’application OAuth malveillants. L’activité est principalement associée au kit de phishing Tycoon, qui reste efficace pour compromettre les comptes d’entreprise en interceptant les identifiants et les jetons de session.
🧠 TTPs et IOCs détectés
TTP
T1566.002, T1550.001, T1071.001, T1589.002
IOC
URL de redirection malveillantes, Identifiants d’application OAuth malveillants
🔗 Source originale : https://www.proofpoint.com/us/blog/threat-insight/microsoft-oauth-app-impersonation-campaign-leads-mfa-phishing