网络罪犯伪造微软OAuth应用实施MFA钓鱼攻击

Proofpoint观察到攻击者通过冒充SharePoint和DocuSign等可信品牌的恶意OAuth应用活动，意图入侵Microsoft 365账户。

威胁行为者设计了一种巧妙方法来绕过多因素认证（MFA），诱骗用户批准冒充可信品牌的虚假应用访问请求。

根据Proofpoint的调查结果，攻击者制作伪造的微软OAuth应用，模仿SharePoint和DocuSign等可信品牌，以欺骗用户并窃取其凭证。

Proofpoint研究人员在博客文章中表示：“Proofpoint发现了一系列使用微软OAuth应用创建和重定向至恶意URL的活动，这些URL能够进行凭证钓鱼。该活动的目标是使用OAuth应用作为网关诱饵进行其他活动，主要是通过MFA钓鱼获取Microsoft 365账户的访问权限。”

OAuth冒充实现MFA绕过

微软OAuth应用是使用微软身份平台（Azure AD/Entra ID）的应用程序，代表用户请求访问Microsoft 365、OneDrive、Outlook、Teams或SharePoint等服务中的数据权限。

根据Proofpoint的说法，被冒充的应用使用令人信服的名称、徽标和权限提示来诱骗用户批准访问，而不会引发警报。

一旦受害者点击"接受"，他们就会通过CAPTCHA重定向到一个伪造的微软登录页面。CAPTCHA步骤作为反机器人措施，防止自动扫描器标记攻击。幕后，Tycoon或ODx等钓鱼工具包捕获登录凭证和会话令牌，使攻击者能够绕过MFA并获得对Microsoft 365账户的持久访问权限。

研究人员补充说：“钓鱼活动利用了多因素认证（MFA）中间人攻击（AiTM）钓鱼工具包，如Tycoon。此类活动可用于信息收集、横向移动、后续恶意软件安装，或从受感染账户进行额外的钓鱼活动。”

这种方法特别危险，因为OAuth令牌可以在密码重置后继续存在。即使受感染用户更改了密码，攻击者仍然可以使用授予的权限访问电子邮件、文件和其他云服务，直到OAuth令牌被撤销。

Proofpoint表示，该活动滥用了50多个可信品牌，包括RingCentral、SharePoint、Adobe和DocuSign等公司。

微软采取措施遏制威胁

作为该活动的一部分，数千条恶意消息已从受感染的企业账户发送，每条消息都冒充知名公司。一些诱饵请求看似无害的权限，如"查看您的个人资料"和"维护对您已授予其访问权限的数据的访问"。

Proofpoint表示，已在2025年初向微软报告了观察到的应用，并指出软件巨头在2025年6月宣布的即将推出的Microsoft 365默认设置更改，预计将显著限制攻击者滥用第三方应用访问的能力。更新于7月中旬开始推出，预计将于2025年8月完成。

微软未立即回应CSO的评论请求。

Proofpoint建议实施有效的BEC预防措施，阻止云环境中的未经授权访问，并隔离电子邮件中可能恶意的链接，以保持对该活动的领先。此外，教育用户了解Microsoft 365安全风险，并使用基于FIDO的物理安全密钥加强身份验证可能有所帮助。还分享了活动中观察到的恶意微软OAuth应用ID和Tycoon指纹以设置检测。