Proofpoint a observé des campagnes usurpant l’identité de marques de confiance comme SharePoint et Docusign avec des applications OAuth malveillantes pour accéder aux comptes Microsoft 365.
Les acteurs de la menace ont préparé une façon intelligente de passer l’authentification multifactorielle (MFA), incitant les utilisateurs à approuver les fausses demandes d’accès aux applications qui se font passer pour les marques de confiance.
Selon ProofPoint Foundations, les attaquants créent de fausses applications Microsoft OAuth qui imitent les marques de confiance, comme SharePoint et DocuSign, pour duper les utilisateurs et glisser leurs informations d’identification.
« ProofPoint a identifié un groupe d’activités en utilisant la création d’applications Microsoft OAuth et les redirectes qui conduisent à des URL malveillantes permettant un phishing d’identification », a déclaré les chercheurs de Proofpoint dans un article de blog. «L’objectif de la campagne est d’utiliser les applications OAuth comme leurre de passerelle pour mener d’autres activités, principalement pour obtenir l’accès aux comptes Microsoft 365 via le phishing MFA.»
Les applications Microsoft OAuth sont des applications qui utilisent la plate-forme d’identité de Microsoft (Azure AD / ENTRA ID) pour demander l’autorisation d’accéder à des données dans des services tels que Microsoft 365, OneDrive, Outlook, Teams ou SharePoint au nom d’un utilisateur.
Ithuth imitation pour le contournement du MFA
Selon ProofPoint, les applications impurtées ont utilisé des noms de noms, des logos et des invites convaincants pour inciter les utilisateurs à approuver l’accès, sans relancer les alarmes.
Une fois qu’une victime a cliqué sur «Accepter», elle a été redirigé par Captcha vers une page de connexion Microsoft usurpé. L’étape CAPTCHA a servi de mesure anti-bot, empêchant les scanners automatisés de signaler l’attaque. Dans les coulisses, des kits de phishing comme Tycoon ou ODX ont capturé à la fois des informations d’identification de connexion et des jetons de session, permettant aux attaquants de contourner le MFA et de gagner un accès persistant aux comptes Microsoft 365.
« Les campagnes de phishing exploitent l’attaquant de l’authentification multi-facteurs (MFA) Kits de phishing comme Tycoon », ont ajouté des chercheurs. «Une telle activité pourrait être utilisée pour la collecte d’informations, le mouvement latéral, les installations de logiciels malveillants de suivi ou pour mener des campagnes de phishing supplémentaires à partir de comptes compromis.»
Cette méthode est particulièrement dangereuse car les jetons OAuth peuvent survivre aux réinitialisations du mot de passe. Même si un utilisateur compromis modifie son mot de passe, les attaquants peuvent toujours utiliser les autorisations accordées pour accéder aux e-mails, fichiers et autres services cloud jusqu’à ce que le jeton OAuth soit révoqué.
Proofpoint a déclaré que la campagne avait abusé de plus de 50 marques de confiance, y compris des sociétés comme RingCentral, SharePoint, Adobe et Docusign.
Microsoft se déplace pour freiner la menace
Des milliers de messages malveillants ont été envoyés à partir de comptes d’entreprise compromis, dans le cadre de la campagne, chaque entreprise de biensurs d’identité. Certains leurres ont demandé des autorisations d’apparence bénigne telles que «voir votre profil» et «maintenir l’accès aux données auxquelles vous lui avez donné un accès».
Proofpoint a déclaré avoir signalé les applications observées à Microsoft au début de 2025 et a noté que les changements de mise en défaut du géant du logiciel Microsoft 365, annoncés en juin 2025, devraient limiter considérablement la capacité des attaquants à abuser de l’accès des applications tierces. Les mises à jour ont commencé à se dérouler à la mi-juillet et devraient être achevées d’ici août 2025.
ProofPoint recommande de mettre en œuvre des mesures efficaces de prévention du BEC, de bloquer l’accès non autorisé dans les environnements cloud et d’isoler les liens potentiellement malveillants dans les e-mails pour rester en avance sur la campagne. De plus, l’éducation des utilisateurs sur les risques de sécurité Microsoft 365 et le renforcement de l’authentification avec les clés de sécurité physique basés sur FIDO pourraient aider. Les identifiants d’application MALICIEUX Microsoft OAuth et les empreintes digitales de magnat observés dans la campagne ont également été partagées pour définir la détection.
