大多数网络钓鱼活动试图通过欺骗受害者泄露他们的身份来接管账户。PhishLabs 揭露了一个之前从未见过一个策略,那就是 攻击者使用恶意的Microsoft Office 365 应用程序去访问受害者的账户,而不需要受害者向攻击者交出自己的凭证。
在这种技术中,攻击者模仿内部 SharePoint 和 OneDrive 文件共享发送传统的钓鱼消息,再利用社会工程学强迫受害者点击嵌入的链接。
这次攻击与 2017 年谷歌所发生的一件事类似,当时一个攻击者滥用了谷歌文档应用程序功能。在这次攻击中,超过一百万的谷歌文档用户受到了该钓鱼计划的影响,导致攻击者获得了对电子邮件帐户及其联系人的完全访问权。
诱饵文档
诱饵本身并没有什么特别处,至少从表面上看。攻击者运用常见业务正规流程来获取受害者的信任。然而,诱饵的有效载荷是以下链接:
hxxps://login{dot}microsoftonline{dot}com/common/oauth2/v2.0/authorize?%20client_id=fc5d3843-d0e8-4c3f-b0ee-6d407f667751&response_type=id_token+code&redirect_uri=https%3A%2F%2Fofficemtr.com%3A8081%2Foffice&scope=offline_access%20contacts.read%20user.read%20mail.read%20notes.read.all%20mailboxsettings.readwrite%20Files.ReadWrite.All%20openid%20profile&state=12345Ajtwmd&response_mode=%20form_post&nonce=YWxsYWh1IGFrYmFy
主机名 login.microsoftonline.com 是合法的,由微软控制。如果您访问了该链接,但尚未登录 Office 365 帐户,则会看到微软的合法登录页面。
在您登录之后(或者,如果您以前登录过),您将看到以下内容:
如果之前登录过再次登录时出现的情况
快速读取该应用程序请求的权限将警告任何安全从业人员。如果批准,则会将 Office 365 帐户的完全控制权授予了攻击者。然后攻击者可以去访问您的收件箱,您的联系人,OneDriver 和任何文件。
该恶意插件是在 2019 年 11 月 25 日使用,由一个合法组织的信息创建的。这可能是由于该组织之前已经被危害,才允许攻击者利用他们的开发凭证来构建应用程序。
此外,仅仅更改帐户密码(对潜在的攻击最常见的响应策略)将不足以驱逐攻击者。为了弥补这个漏洞,该应用程序必须与该账户断开连接。
默认情况下,任何用户都可以将插件应用到他们的 outlook 应用程序中。此外,微软允许 Office 365 插件和应用程序通过侧面加载的方式安装,而无需通过 Office 商店,这样就避免了任何审查过程。这意味着 攻击者可以将其控制的基础设施中的恶意应用程序交付给任何单击 URL 并批准请求权限的用户。在这种情况下,结果是完全控制您的 Office 365 帐户,并扩展到任何利用 SSO 方法并依赖于用户的 Office 365 帐户(如 SAML 或 OAuth)的系统。
Outlook 插件是一种应用程序,通过添加用户无需离开 Outlook 即可使用的信息或工具,将 Outlook 的有用性扩展到客户端。插件是由第三方开发人员构建的,可以通过文件或 URL 或 Office 商店安装。默认情况下,所有用户都可以安装插件。Exchange 在线管理员可以控制用户是否可以安装 Office 插件。
侧边加载的应用程序也不需要服务条款或隐私声明,正如应用程序权限屏幕所显示的那样。
接受这些权限意味着您允许本应用程序按照其服务条款和隐私声明中指定的方式使用您的数据。出版商还没有提供链接到他们的条款供您审查。
在这次网络钓鱼活动中可获取到下列指标:
域名:
该恶意应用程序是通过 URL 侧载的,位于 hxxps://officemtr{dot}com:8081/office
示例主题:
与您分享的文件 [Company Name] Q4 Report - Dec19 (1).xlsx
发送方地址:
目前,我们没有观察到任何恶意的附件关联到此运动。钓鱼诱饵声称使用 OneDrive excel 文档,点击链接即可访问。
我们建议使用上述指标来阻止该威胁的发送,找到已经发送的相关电子邮件,并从用户收件箱中删除它们。对于目前订阅了 PhishLabs 的电子邮件事件响应的组织来说,这个过程是自动化的,这些组织已经受到保护,不受这种威胁的影响,这种威胁可以防止用户收件箱受到威胁。
注:本文翻译自 https://info.phishlabs.com/blog/office-365-phishing-uses-malicious-app-persist-password-reset
