Microsoft cảnh báo tin tặc khai thác OAuth để khai thác tiền điện tử và lừa đảo

www.tuoitre.vn -   20/12/2023 08:00:00 1345

Microsoft đã cảnh báo rằng những tin tặc đang sử dụng các ứng dụng OAuth làm công cụ tự động hóa để triển khai các máy ảo (VM) nhằm khai thác tiền điện tử và khởi động các cuộc tấn công lừa đảo.

Microsoft cảnh báo tin tặc khai thác OAuth để khai thác tiền điện tử và lừa đảo

Nhóm Threat Intelligence của Microsoft cho biết trong một phân tích: “Các tác nhân đe dọa xâm phạm tài khoản người dùng để tạo, sửa đổi và cấp đặc quyền cao cho các ứng dụng OAuth mà chúng có thể lạm dụng để che giấu hoạt động độc hại”.

“Việc lạm dụng OAuth cũng cho phép các tác nhân đe dọa duy trì quyền truy cập vào các ứng dụng ngay cả khi họ mất quyền truy cập vào tài khoản bị xâm nhập ban đầu.”

OAuth, viết tắt của Ủy quyền mở, là một khung ủy quyền và ủy quyền (trái ngược với xác thực) cung cấp cho ứng dụng khả năng truy cập thông tin một cách an toàn từ các trang web khác mà không cần chuyển mật khẩu.

Trong các cuộc tấn công được Microsoft trình bày chi tiết, người ta đã quan sát thấy các tác nhân đe dọa đang thực hiện các cuộc tấn công lừa đảo hoặc gửi mật khẩu nhằm vào các tài khoản được bảo mật kém có quyền tạo hoặc sửa đổi ứng dụng OAuth.

OAuth để khai thác tiền điện tử

Một đối thủ như vậy là Storm-1283, kẻ đã lợi dụng tài khoản người dùng bị xâm nhập để tạo ứng dụng OAuth và triển khai máy ảo để khai thác tiền điện tử. Hơn nữa, những kẻ tấn công đã sửa đổi các ứng dụng OAuth hiện có vào tài khoản có quyền truy cập bằng cách thêm một bộ thông tin xác thực bổ sung để tạo điều kiện cho các mục tiêu tương tự.

Trong một trường hợp khác, một tác nhân không xác định đã xâm phạm tài khoản người dùng và tạo các ứng dụng OAuth để duy trì tính bền bỉ và khởi động các cuộc tấn công lừa đảo qua email sử dụng bộ công cụ lừa đảo trung gian (AiTM) để cướp cookie phiên từ mục tiêu của chúng và bỏ qua các biện pháp xác thực.

“Trong một số trường hợp, sau hoạt động phát lại cookie phiên bị đánh cắp, kẻ tấn công đã lợi dụng tài khoản người dùng bị xâm nhập để thực hiện trinh sát gian lận tài chính BEC bằng cách mở tệp đính kèm email trong Ứng dụng web Microsoft Outlook (OWA) có chứa các từ khóa cụ thể như ‘thanh toán’ và ‘hóa đơn’ ", Microsoft cho biết.

Các tình huống khác được gã khổng lồ công nghệ phát hiện sau hành vi đánh cắp cookie phiên liên quan đến việc tạo các ứng dụng OAuth để phân phối email lừa đảo và tiến hành hoạt động gửi thư rác quy mô lớn. Microsoft đang theo dõi cái sau là Storm-1286.

Để giảm thiểu rủi ro liên quan đến các cuộc tấn công như vậy, các tổ chức nên thực thi xác thực đa yếu tố (MFA), kích hoạt các chính sách truy cập có điều kiện và thường xuyên kiểm tra các ứng dụng cũng như các quyền được chấp thuận.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Đọc nhanh tài liệu Word với tính năng AI...

30/08/2024 12:00:00 83
Một tính năng mới rất hữu ích dành cho người dùng Word, cho phép xử lý các tài liệu dài dễ dàng hơn ...

Google tung bản vá bảo mật khẩn cấp cho ...

29/08/2024 12:00:00 69
Hãykiểm tra xem trình duyệt của mình đã tự động cập nhật lên phiên bản mới nhất chưa bằng cách mở cà...

Phần mềm độc hại Android mới NGate đánh ...

28/08/2024 08:00:00 71
Các nhà nghiên cứu an ninh mạng đã phát hiện ra phần mềm độc hại Android mới có thể chuyển tiếp dữ l...

Thời đại AI lên ngôi, ảnh chụp không hẳn...

28/08/2024 12:00:00 80
Với sự xuất hiện của AI, bất kỳ ai cũng có thể tạo ảnh giả với độ chân thực không kém chuyên gia pho...

Trung tâm siêu dữ liệu đang được Google ...

27/08/2024 12:00:00 48
Lý do khiến Google có thể lựa chọn xây trung tâm dữ liệu tại Việt Nam đến từ việc hãng kiếm được ngà...

Google cảnh báo về lỗ hổng bảo mật CVE-2...

26/08/2024 08:00:00 33
Google đã tiết lộ rằng một lỗ hổng bảo mật đã được vá như một phần của bản cập nhật phần mềm được tu...
Xem thêm

LIÊN HỆ

Thông tin liên hệ