Falešné OAuth aplikace: Jak útočníci kompromitují účty Microsoft 365

To, že útočníci zneužívají důvěryhodnost známých značek a nástrojů, aby získali neoprávněný přístup k firemním účtům, je běžná praxe. Nyní bezpečnostní experti společnosti Proofpoint odhalili sofistikovanou phishingovou kampaň, která kombinuje falešné aplikace OAuth s phishingovými sadami jako je Tycoon, a to i při aktivovaném vícefaktorovém ověření (MFA) ve snaze proniknout do účtů Microsoft 365.

Útočníci rozesílají e-maily z kompromitovaných účtů, které se tváří jako obchodní komunikace – často obsahují žádost o cenovou nabídku nebo návrh smlouvy. Po kliknutí na odkaz je oběť přesměrována na stránku autorizace falešné aplikace Microsoft OAuth, která nese jméno „iLSMART“ – což je legitimní tržiště pro letecký, námořní a obranný průmysl.

Aplikace žádá o základní oprávnění (např. přístup k profilu), nicméně poté je oběť přesměrována na podvodnou stránku napodobující přihlášení k účtu Microsoft. Tato stránka využívá techniku „adversary-in-the-middle“ (AiTM), která umožňuje útočníkovi zachytit přihlašovací údaje i MFA kódy v reálném čase.

Phishing jako služba (PhaaS)

Celá kampaň využívá platformy typu Phishing-as-a-Service, konkrétně Tycoon a ODx. Ty útočníkům poskytují hotové nástroje na tvorbu AiTM phishingových stránek, čímž se snižuje technická náročnost útoků a rozšiřuje jejich dopad.

Podle dat z roku 2025 zaznamenala Proofpoint pokusy o kompromitaci téměř 3 000 účtů ve více než 900 různých Microsoft 365 prostředích. Útočníci navíc zneužívají e-mailové platformy jako Twilio SendGrid k dalším vlnám útoků, např. falešným notifikacím od Adobe.

Trend: identita jako cíl

Tato kampaň ukazuje širší trend – identita uživatele se stává hlavním cílem kybernetických útoků. AiTM phishing umožňuje obejít i moderní bezpečnostní mechanismy a stává se novým „oborovým standardem“ v kriminálním prostředí.

Microsoft na tuto hrozbu reaguje – od srpna 2025 zavádí změny výchozích nastavení, které omezí přístup starších autentizačních protokolů a budou vyžadovat souhlas administrátora pro přístup aplikací třetích stran. To by mělo významně snížit účinnost podobných útoků.

RMM nástroje jako zadní vrátka

Další kampaně zneužívají vzdálené přístupové nástroje (RMM) jako FleetDeck, Atera nebo ScreenConnect – často skryté v PDF souborech, které napodobují faktury nebo smlouvy. Tyto nástroje útočníci využívají jako prostředek pro iniciální přístup, například v přípravě na ransomwarový útok.

Doporučení pro firmy:

 – Sledujte udělovaná oprávnění aplikacím OAuth ve firemních účtech.

– Implementujte ochranu proti AiTM útokům (např. prostřednictvím detekce neobvyklé autentizace).

– Blokujte RMM nástroje, pokud nejsou výslovně povolené a monitorujte jejich instalaci.

– Školte uživatele – i malé podezření u nevyžádané obchodní komunikace může zabránit vážnému incidentu.

Zdroj: thehackernews.com

Zdroj ilustračního obrázku: vygenerováno pomocí AI