/https://www.html.it/app/uploads/2025/03/Microsoft-7.jpg "Microsoft 365: false app Adobe e DocuSign nascondono malware")
Alcuni cybercriminali stanno promuovendo app Microsoft OAuth dannose che si mascherano da app Adobe e DocuSign. Lo scopo è quello distribuire malware e rubare le credenziali degli account Microsoft 365. Le campagne sono state scoperte dai ricercatori di Proofpoint. In un post su X queste sono state poi definite "altamente mirate". Le app OAuth dannose in questa campagna impersonano Adobe Drive, Adobe Drive X, Adobe Acrobat e DocuSign. Queste app richiedono l'accesso a permessi meno sensibili come "profilo", "email" e "openid", per evitare di essere rilevati e sospettati. Se tali permessi vengono concessi, all'aggressore viene concesso l'accesso a diversi dati degli utenti Microsoft 365. Questi includono ad esempio il nome completo, ID utente, immagine del profilo, nome utente, e l’indirizzo e-mail principale (nessun accesso alla posta in arrivo). Inoltre, gli aggressori avranno anche l’accesso alla conferma dell'identità dell'utente e il recupero dei dettagli dell'account Microsoft.
Come riferito Proofpoint in un’intervista al sito BleepingComputer, le campagne di phishing sono state inviate da enti di beneficenza o piccole aziende che utilizzano account di posta elettronica compromessi, probabilmente account Office 365. Le e-mail hanno preso di mira diversi settori statunitensi ed europei, tra cui governi, sanità, catena di fornitura e vendita al dettaglio. Alcune delle e-mail viste dall'azienda di sicurezza informatica utilizzano RFP ed esche contrattuali per indurre i destinatari ad aprire i link. I privilegi derivanti dall'accettazione dell'app Microsoft OAuth hanno fornito solo dati limitati agli aggressori. Tuttavia, le informazioni degli utenti potrebbero comunque essere utilizzate per attacchi più mirati. Inoltre, una volta concessa l'autorizzazione all'app OAuth, questa reindirizza gli utenti a landing page che mostrano moduli di phishing per le credenziali di Microsoft 365 o malware distribuito.
Microsoft 365: malware distribuito ancora sconosciuto
Proofpoint ha affermato di non essere riuscita a determinare il malware distribuito. Tuttavia, gli aggressori hanno utilizzato l'attacco di ingegneria sociale ClickFix, che è diventato molto popolare nell'ultimo anno. Gli attacchi sono simili a quelli segnalati anni fa, il che indica che le app OAuth rimangono un modo efficace per dirottare gli account Microsoft 365 senza rubare le credenziali. Naturalmente, prima di approvar una richiesta di autorizzazione delle app OAuth, si consiglia di essere cauti e di verificarne sempre la fonte e la legittimità. Per controllare le approvazioni esistenti, basta accedere a "Le mie app" (myapplications.microsoft.com), poi "Gestisci le tue app" e, infine, revoca tutte le app non riconosciute in quella schermata.
Gli amministratori di Microsoft 365 possono anche limitare completamente l'autorizzazione degli utenti a fornire il consenso alle richieste di app OAuth di terze parti. Basta accedere a "Applicazioni aziendali", "Consenso e autorizzazioni" e infine, impostare "Gli utenti possono fornire il consenso alle app" su "No".
/https://www.html.it/app/uploads/2025/03/truffa-influencer-usa.jpg)
/https://www.html.it/app/uploads/2025/03/Nuovo-progetto-9.jpg)
/https://www.html.it/app/uploads/2025/03/avg-antivirus-480x300.webp)
/https://www.html.it/app/uploads/2025/03/truffe-auto-invecchiate.jpg)