网络钓鱼Oauth警报：假’Adobe Drive X’Microsoft应用程序连接

在以下保护的环境中发现：

Microsoft EOP和Proofpoint

Taca和Aloha Masbate Jurielle，Cofense网络钓鱼防御中心

威胁参与者通过武装Microsoft 365个性化应用程序来索取敏感用户信息，将网络钓鱼传递到了一个新的水平。威胁参与者的这种偷偷摸摸的尝试使用了一个伪造的Microsoft密码请求企业邮箱，并带有一个集成链接，该链接向受害人呈现了合法的Microsoft 365连接页面，但这只是诱饵。合法的连接页面授予授权访问控制女演员控制的个性化Microsoft 365应用程序。用户访问个性化应用程序后，他将重定向到真实的身份网络钓鱼页面。
 
Cofense网络钓鱼防御中心（PDC）发现了一场网络钓鱼活动，使Microsoft用户受害。此攻击使威胁参与者可以通过合法的Microsoft URL作为感染来吸引用户来收集Microsoft用户识别信息。

图1：企业邮箱正文

如图1所示，攻击始于可疑的企业邮箱，该企业邮箱伪装为重置密码办公室365的请求。发送者企业邮箱地址（standupdates@safaricom.co.ke）与真实的Microsoft区域相对应。此外，显示器和发件人的主题包含字符和拼写错误。特别是，该企业邮箱包含导致合法Microsoft连接页面的链接。

图2：Microsoft合法连接页面

在此阶段，用户被带到合法的Microsoft身份验证页面，这使网络钓鱼攻击更具说服力。该广告系列与典型的网络钓鱼活动不同，在该活动中，通过单击快递主体中的URL来对错误的Microsoft连接页面进行测序。

图3：“ Adob​​e Drive X”的授权请求，这是由威胁参与者控制的个性化Microsoft 365应用程序

成功身份验证后，将邀请用户授予一个名为“ Adob​​e Drive X”的应用程序。在这里，攻击是形成的，将自己伪装成对Adobe产品的合法要求。威胁参与者利用用户对微软和Adobe的熟悉，以对网络钓鱼的合法攻击。提供的详细信息表明该应用程序将可以访问用户的企业邮箱地址和基本配置文件，其中用户可以根据优先选择“接受”或“取消”。用户选择一个选项后，用户将被重定向到伪装成Microsoft连接页面的标识信息的网络钓鱼页面。

图4：网络钓鱼页 – 假的Microsoft连接

如图4所示，此标识网络钓鱼页面未托管在Microsoft域（HXXPS（:) // Office（。）funfablesecuretectory（。）com）上。威胁演员可能将这种尝试在合法的Microsoft 365连接页面之后试图识别网络钓鱼，以使用户措手不及。较少警惕的用户可能不会检查第二个连接页面的URL，而是成为对身份信息的网络钓鱼攻击的受害者。

图5：使用Google Chrome开发人员工具的URL分析

在检查网络活动时，团队能够在原始连接页面上确认恶意意图。有一个恶意的URL（HXXPS（:) // Fancy-Bush-61e9sydgsyi29s（。）Jennifer-may（。）工人（。）开发），将其集成到HTTP响应中，如图5所示。如果我们访问了上面提到的URL，则将将用户重定向到图4所示的相同的False Microsoft连接页面。

结论

总之，威胁利益相关者不断适应绕过安全措施，甚至在网络攻击的供应中使用合法服务。网络钓鱼活动将继续引起误导，并鼓励用户透露敏感信息。保持警惕并验证任何未经请求的交流以保护自己免受此类威胁的真实性至关重要。

 
Cofense所引用的所有第三个标记，无论是以徽标的形式，名称，产品形式的形式，产品形式还是其他方式，都是其各自持有人的财产，并且使用这些品牌都不表明Cofense与Cofense的任何关系品牌。本博客中有关最终点保护的旁路的所有观察结果都是基于在特定的一组系统配置上的给定时刻的观察结果。随后的更新或不同的配置可以有效阻止这些威胁或类似威胁。过去的表现并不能表示未来的结果。

名称和徽标Cofense®和Phishme®以及此博客上显示的Cofense服务的任何其他产品或名称或徽标是Cofense Inc.的品牌或注册商标。