Microsoft ha recentemente affrontato due importanti sfide nel campo della sicurezza informatica: l’abuso delle sue applicazioni OAuth per automatizzare attacchi BEC (Business Email Compromise) e di cryptomining, e il sequestro di domini utilizzati per vendere account Outlook fraudolenti.
Abuso di App OAuth di Microsoft
Gli attori di minacce finanziariamente motivati stanno utilizzando applicazioni OAuth per automatizzare attacchi BEC e di phishing, inviare spam e distribuire macchine virtuali per il cryptomining.
OAuth, uno standard aperto per concedere alle app un accesso sicuro e delegato alle risorse del server, è stato sfruttato principalmente su account utente che mancano di meccanismi di autenticazione robusti, come l’autenticazione a più fattori. Gli account compromessi vengono utilizzati per creare nuove applicazioni OAuth e concedere loro privilegi elevati, nascondendo l’attività malevola e garantendo l’accesso continuo anche se l’account originale viene perso.
Sequestro domini per vendita di Account Outlook fraudolenti
L’Unità Crimini Digitali di Microsoft ha sequestrato diversi domini utilizzati da un gruppo di cybercriminali con base in Vietnam, noto come Storm-1152, che ha registrato oltre 750 milioni di account fraudolenti e guadagnato milioni di dollari vendendoli online ad altri cybercriminali. Storm-1152, il principale fornitore di cybercrime-as-a-service e venditore numero uno di account Outlook fraudolenti, ha anche offerto un servizio automatico di risoluzione CAPTCHA per bypassare le sfide CAPTCHA di Microsoft e registrare ulteriori account email Microsoft fraudolenti.
Impatto e Azioni di Microsoft
Gli account fraudolenti forniti da Storm-1152 sono stati utilizzati da numerosi gruppi cybercriminali coinvolti in ransomware, furto di dati ed estorsione. Microsoft stima che le interruzioni di servizio causate da questi attacchi abbiano provocato danni per centinaia di milioni di dollari. Il 7 dicembre, Microsoft ha sequestrato l’infrastruttura di Storm-1152 negli Stati Uniti e ha chiuso i siti web correlati dopo aver ottenuto un ordine del tribunale.
Queste azioni di Microsoft evidenziano l’importanza di una sicurezza informatica robusta e la necessità di affrontare il cybercrimine a livello globale, mirando agli strumenti utilizzati dai criminali informatici per lanciare i loro attacchi.