Cybercriminelen verspreiden drie malafide OAuth-apps, die zijn vermomd als 'Adobe Drive', 'Adobe Acrobat' en 'Docusign'. Via de apps proberen aanvallers toegang te krijgen tot Microsoft 365-accounts. Daarvoor waarschuwt Proofpoint, dat op X de werkwijze van de aanvallers uiteenzet. De aanvallers bieden de malafide OAuth-apps, en verwijzen gebruikers vervolgens door naar phishingpagina's, die gebruikers vragen de apps toestemming te geven. Proofpoint meldt dat de aanvallers de gevraagde permissies bewust beperkt lijken te houden in een poging geen argwaan te wekken. De apps vragen onder meer om toegang tot het profiel van gebruikers met volledige naam, gebruikers-ID, profielfoto en gebruikersnaam, maar ook tot het e-mailadres en OpenID. De onderzoekers waarschuwen dat hoewel de informatie die de aanvallers buitmaken beperkt is, deze gebruikt kunnen worden voor het opzetten van verdere aanvallen.

In een toelichting meldt Proofpoint aan BleepingComputer dat de phishingcampagne is opgezet uit naam van goede doelen of kleine bedrijven, waarbij de aanvallers gebruik maken van gecompromitteerde accounts zoals Office 365-accounts. Zowel organisaties in Europa als de Verenigde Staten (VS) zijn doelwit, waarbij het onder meer om overheidsorganisaties, zorgorganisaties, toeleveranciers en retailers gaat.

Doorverwijzen naar phishingpagina

Slachtoffers van de aanval worden meerdere keren doorverwezen, totdat zij op een pagina uitkomen die op het eerste oog een inlogpagina voor Office 365 lijkt te zijn. Indien slachtoffers hier inloggen overhandigen zij hun inloggegevens aan de aanvallers; Proofpoint meldt een minuut na inloggegevens te hebben ingevuld al malafide inlogactiviteiten op het account te hebben gedetecteerd.

Ook proberen de aanvallers malware te verspreiden via de aanval, waarbij zij gebruik maken van een zogeheten ‘ClickFix’-aanval. Hierbij krijgen slachtoffers de opdracht een aantal zogenaamde ‘verificatiestappen’ uit te voeren. Wie dit doet voert echter in werkelijkheid in de terminal een opdracht in om de malware te downloaden en installeren op het systeem.