网络犯罪分子伪造微软OAuth应用进行MFA钓鱼

威胁行为者设计了一种巧妙的方法来绕过多因素认证（MFA），诱骗用户批准冒充可信品牌的虚假应用访问请求。

根据Proofpoint的发现，攻击者正在制作伪造的微软OAuth应用，模仿SharePoint和DocuSign等可信品牌，以欺骗用户并窃取其凭证。

Proofpoint研究人员在一篇博客文章中说：“Proofpoint发现了一系列使用微软OAuth应用创建和重定向到恶意URL的活动，这些URL能够进行凭证钓鱼。该活动的目标是使用OAuth应用作为网关诱饵进行其他活动，主要是通过MFA钓鱼获取微软365账户的访问权限。”

微软OAuth应用与MFA绕过

微软OAuth应用是使用微软身份平台（Azure AD/Entra ID）的应用程序，代表用户请求访问微软365、OneDrive、Outlook、Teams或SharePoint等服务中的数据。

根据Proofpoint的说法，被冒充的应用使用令人信服的名称、徽标和权限提示来诱骗用户批准访问，而不会引起警报。

一旦受害者点击“接受”，他们就会通过CAPTCHA重定向到一个伪造的微软登录页面。CAPTCHA步骤作为一种反机器人措施，防止自动扫描器标记攻击。幕后，Tycoon或ODx等钓鱼工具包捕获登录凭证和会话令牌，使攻击者能够绕过MFA并获得对微软365账户的持久访问权限。

研究人员补充说：“钓鱼活动利用了多因素认证（MFA）中间人（AiTM）钓鱼工具包，如Tycoon。此类活动可用于信息收集、横向移动、后续恶意软件安装，或从受感染的账户进行额外的钓鱼活动。”

这种方法特别危险，因为OAuth令牌可以在密码重置后继续存在。即使受感染的用户更改了密码，攻击者仍然可以使用授予的权限访问电子邮件、文件和其他云服务，直到OAuth令牌被撤销。

Proofpoint表示，该活动滥用了50多个可信品牌，包括RingCentral、SharePoint、Adobe和DocuSign等公司。

微软采取措施遏制威胁

作为该活动的一部分，数千条恶意消息已从受感染的企业账户发送，每条消息都冒充知名公司。一些诱饵要求看似无害的权限，例如“查看您的个人资料”和“维护对您已授予其访问权限的数据的访问”。

Proofpoint表示，已在2025年初向微软报告了观察到的应用，并指出软件巨头在2025年6月宣布的即将推出的微软365默认设置更改预计将显著限制攻击者滥用第三方应用访问的能力。更新于7月中旬开始推出，预计将于2025年8月完成。

微软没有立即回应CSO的评论请求。

防护建议

Proofpoint建议实施有效的BEC预防措施，阻止云环境中的未经授权访问，并隔离电子邮件中可能恶意的链接，以领先于该活动。此外，教育用户了解微软365安全风险，并使用基于FIDO的物理安全密钥加强身份验证可能有所帮助。还分享了活动中观察到的恶意微软OAuth应用ID和Tycoon指纹以设置检测。