Analis ancaman telah mengamati kampanye baru bernama ‘OiVaVoii’, menargetkan eksekutif perusahaan dan manajer umum dengan aplikasi OAuth berbahaya dan umpan phishing khusus yang dikirim dari akun Office 365 yang dibajak.
Menurut laporan dari Proofpoint, kampanye tersebut masih berlangsung, meskipun Microsoft memantau aktivitas tersebut dan telah memblokir sebagian besar aplikasi.
Dampak dari pengambilalihan akun eksekutif berkisar dari pergerakan lateral pada jaringan dan phishing orang dalam hingga penyebaran ransomware dan insiden penyusupan email bisnis.
OAuth adalah standar untuk otentikasi dan otorisasi berbasis token, menghilangkan kebutuhan untuk memasukkan kata sandi akun.
Aplikasi yang menggunakan OAuth memerlukan izin khusus seperti izin baca dan tulis file, akses ke kalender dan email, serta otorisasi pengiriman email.
Tujuan dari sistem ini adalah untuk menawarkan peningkatan kegunaan dan kenyamanan sambil mempertahankan tingkat keamanan yang tinggi dalam lingkungan yang dapat dipercaya dengan mengurangi eksposur kredensial.
Dengan token OAuth, aplikasi pihak ketiga berbasis cloud dapat mengakses titik data yang diperlukan untuk menyediakan fitur produktivitas bisnis tanpa mendapatkan kata sandi pengguna.
Pelaku di balik kampanye OiVaVoii menggunakan setidaknya lima aplikasi OAuth berbahaya, empat di antaranya saat ini diblokir: ‘Upgrade’, ‘Document’, ‘Shared’, dan ‘UserInfo’.
Selengkapnya: Bleeping Computer
