Microsoft ha avvertito di un attacco rivolto ai consumatori che ha fatto uso di applicazioni “OAuth” craccate, distribuite su “tenant cloud” questi sono stati compromessi per prendere il controllo dei server Exchange e diffondere spam.
“L’autore della minaccia ha lanciato attacchi di – credential stuffing – contro account ad alto rischio che non avevano abilitato l’autenticazione a più fattori (MFA) e ha sfruttato gli account amministratore non protetti per ottenere l’accesso iniziale”, ha affermato il team di ricerca di Microsoft 365 Defender.
L’accesso non autorizzato al tenant cloud ha consentito all’avversario di registrare un’applicazione OAuth dannosa e concederle autorizzazioni elevate, nonché infine di modificare le impostazioni di Exchange Server per consentire l’instradamento di e-mail in ingresso da indirizzi IP specifici attraverso il server di posta elettronica compromesso.
“Queste modifiche alle impostazioni del server Exchange hanno permesso all’attore della minaccia di eseguire il proprio obiettivo principale nell’attacco: l’invio di e-mail di spam”, ha affermato Microsoft. Le e-mail di spam sono state inviate come parte di uno schema di lotterie ingannevole destinato a indurre i destinatari a sottoscrivere abbonamenti a pagamento ricorrenti.
I messaggi e-mail esortavano i destinatari a fare clic su un link per ricevere un premio, in tal modo reindirizzava le vittime a una pagina di destinazione che chiedeva alle vittime di inserire i dettagli della loro carta di credito per una piccola tassa di spedizione per riscuotere la ricompensa.
L’attore della minaccia ha inoltre eseguito una serie di passaggi per eludere il rilevamento e continuare le sue operazioni per lunghi periodi di tempo, tra cui settimane o addirittura mesi per utilizzare l’applicazione OAuth dannosa dopo la sua configurazione ed eliminare le modifiche apportate a Exchange Server dopo ogni campagna di posta indesiderata.
La divisione threat intelligence di Microsoft ha affermato che l’avversario ha eseguito attivamente campagne e-mail di spam per diversi anni, in genere inviando elevati volumi di e-mail di spam in brevi raffiche attraverso una varietà di metodi.
Sebbene l’obiettivo principale dell’attacco sembri essere quello di indurre gli utenti inconsapevoli a registrarsi per servizi di abbonamento indesiderati, avrebbe potuto rappresentare una minaccia molto più seria se la stessa tecnica fosse stata utilizzata per rubare credenziali o distribuire malware.
“Mentre la campagna di spam successiva prende di mira gli account di posta elettronica dei consumatori, questo attacco prende di mira i tenant aziendali da utilizzare come infrastruttura per questa campagna”, ha affermato Microsoft. “Questo attacco espone quindi i punti deboli della sicurezza che potrebbero essere utilizzati da altri attori delle minacce in attacchi che potrebbero avere un impatto diretto sulle aziende colpite”.