网络罪犯伪造微软OAuth应用实施MFA钓鱼攻击

Proofpoint观察到攻击者通过恶意OAuth应用冒充SharePoint等可信品牌，入侵Microsoft 365账户。

威胁行为者设计出一种巧妙绕过多因素认证（MFA）的方法，诱骗用户批准模仿可信品牌的虚假应用访问请求。

根据Proofpoint的调查结果，攻击者伪造模仿SharePoint和DocuSign等可信品牌的微软OAuth应用，以欺骗用户并窃取其凭证。

Proofpoint研究人员在博客中表示：“Proofpoint发现了一系列利用微软OAuth应用创建和重定向至恶意URL的活动，这些URL用于实施凭证钓鱼。该活动的目标是使用OAuth应用作为网关诱饵进行其他活动，主要是通过MFA钓鱼获取Microsoft 365账户的访问权限。”

OAuth冒充实现MFA绕过

微软OAuth应用是使用微软身份平台（Azure AD/Entra ID）的应用程序，可请求代表用户访问Microsoft 365、OneDrive、Outlook、Teams或SharePoint等服务中的数据。

据Proofpoint称，被冒充的应用使用令人信服的名称、徽标和权限提示来诱骗用户批准访问，而不会引发警报。

受害者点击"接受"后，会通过CAPTCHA重定向到伪造的微软登录页面。CAPTCHA步骤作为反机器人措施，防止自动扫描器标记攻击。幕后，Tycoon或ODx等钓鱼工具包会捕获登录凭证和会话令牌，使攻击者能够绕过MFA并持久访问Microsoft 365账户。

研究人员补充道：“这些钓鱼活动利用多因素认证（MFA）中间人（AiTM）钓鱼工具包（如Tycoon）。此类活动可用于信息收集、横向移动、后续恶意软件安装，或从受感染账户发起额外钓鱼活动。”

这种方法特别危险，因为OAuth令牌在密码重置后仍然有效。即使用户更改了密码，攻击者仍可使用授予的权限访问电子邮件、文件和其他云服务，直到OAuth令牌被撤销。

Proofpoint表示，该活动滥用了50多个可信品牌，包括RingCentral、SharePoint、Adobe和DocuSign等公司。

微软采取措施遏制威胁

作为该活动的一部分，数千条恶意信息已从受感染的企业账户发送，每条都冒充知名公司。一些诱饵要求看似无害的权限，如"查看您的个人资料"和"维护对您已授予其访问权限的数据的访问"。

Proofpoint表示已于2025年初向微软报告了观察到的应用，并指出微软于2025年6月宣布的即将推出的Microsoft 365默认设置更改，预计将显著限制攻击者滥用第三方应用访问的能力。这些更新于7月中旬开始推出，预计将于2025年8月完成。

Proofpoint建议实施有效的BEC预防措施，阻止云环境中的未经授权访问，并隔离电子邮件中可能恶意的链接以领先于该活动。此外，对用户进行Microsoft 365安全风险教育，并使用基于FIDO的物理安全密钥加强身份验证可能有所帮助。活动中观察到的恶意微软OAuth应用ID和Tycoon指纹也已共享以设置检测。