Adobe- und DocuSign-Imitation-Attacken Neue Phishing-Kampagnen missbrauchen OAuth-Apps

Anbieter zum Thema

Proofpoint Germany

PresseBox - unn | UNITED NEWS NETWORK GmbH

SEPPmail - Deutschland GmbH

FTAPI Software GmbH

Aktuell laufen zwei ausgeklügelte und sehr gezielte Cyberangriffskampagnen, die sich OAuth-Umleitungsmechanismen zunutze machen, um Anmeldedaten zu kompromittieren.

Laut dem IT-Security-Unternehmen Proofpoint, dessen IT-Sicherheitsforscher die Kampagnen entdeckt haben, nutzen die Angriffe ausgeklügelte OAuth-basierte Phishing-Techniken, um Organisationen in den USA und Europa in einer Vielzahl von Branchen anzugreifen, darunter Regierungsinstitutionen, Einrichtungen des Gesundheitswesens, Einzelhändler und Unternehmen innerhalb von Lieferketten.

Phishing-Prävention

Die Tricks der Hacker beim Phishing-Betrug

Die Angriffe verwenden präparierte OAuth-Apps, die sich als legitime Anwendungen wie „Adobe Drive“, „Adobe Acrobat“ oder „DocuSign“ tarnen. Diese Apps dienen als Gateway zu Phishing-Seiten und Malware-Installationen. Die Angreifer nutzen dabei die Funktionsweise von OAuth 2.0-Autorisierungsabläufen aus, indem sie Parameter wie „response_type“ oder „scope“ in gültigen Autorisierungsabläufen modifizieren. So können sie die Opfer auf von ihnen kontrollierte Websites umleiten, obwohl die ursprüngliche URL legitim erscheint. Die Phishing-E-Mails werden von kompromittierten O365-Konten legitimer Organisationen (z. B. Wohltätigkeitsorganisationen oder kleinen Unternehmen) versendet und enthalten einen O365 OAuth App Consent Link. Die E-Mails beziehen sich oft auf Themen wie Verträge oder Angebotsanfragen, um die Empfänger zum Klicken zu bewegen.

Phishing trotz Zwei-Faktor-Authentifizierung

Erfolgreiche Hacks trotz 2FA – das können Unternehmen tun

Ein besonders besorgniserregender Aspekt dieser Kampagnen ist die Fähigkeit, herkömmliche E-Mail-Sicherheitsprotokolle wie Domänen­reputations­bewertungen, DMARC und Anti-Spoofing-Strategien zu umgehen. Weil die Angriffe vollständig innerhalb des Microsoft-Ökosystems ablaufen, sind sie besonders schwer zu erkennen. Die bösartigen OAuth-Apps verwenden zudem relativ harmlose Berechtigungen, was die Wahrscheinlichkeit verringert, dass die Autorisierung als verdächtig eingestuft wird. Dies steht im Gegensatz zu anderen OAuth-basierten Kampagnen, bei denen die App selbst verwendet wird, um die Daten des Opfers direkt zu stehlen oder Aktionen über das Konto des Opfers auszuführen.

Proofpoint ordnet die Kampagnen zwei verschiedenen Clustern zu, abhängig von den missbrauchten Marken: Adobe-Imitation, die zu ClickFix-Malware-Verbreitung und Phishing-Seiten führt, und DocuSign-Imitation, die auf den Diebstahl von Anmeldedaten abzielt. Das Ziel der Angreifer scheint die Übernahme von Konten zu sein, was den Ausgangspunkt weiterer Cyberangriffe bilden kann.

Cyberkriminelle und staatliche Akteure

Social-Engineering-Kampagne ClickFix findet immer mehr Opfer

Die OAuth-Angriffstechniken haben sich im Laufe der Zeit weiterentwickelt. Während anfänglich präparierte Drittanbieter­anwendungen verwendet wurden, haben sich die Angreifer nun auf „Second-Party“-App-Angriffe verlagert, bei denen nach der Kompromittierung eines Kontos durch eine andere Methode zusätzliche bösartige Anwendungen mit erweiterten Berechtigungen autorisiert oder erstellt werden. Die Effektivität dieser Angriffe beruht auf der Nachahmung legitimer Organisationen und der mangelnden Wachsamkeit der Benutzer.

Als Gegenmaßnahmen empfiehlt Proofpoint Unternehmen, den Einsatz von OAuth-Apps genau zu überwachen, verdächtige Aktivitäten mit Hilfe von Advanced Threat Detection zu identifizieren und ihre Belegschaft für OAuth-basierte Phishing-Angriffe zu sensibilisieren. Weil OAuth-Apps oft legitim erscheinen, sind gezielte Sicherheitsvorkehrungen unerlässlich, um einen Missbrauch zu verhindern.

Device Code Phishing in Entra ID

Aktive Phishing-Angriffe auf Microsoft-Konten mittels Device Code Login

(ID:50405386)