memo-x

Berita, komentar, dan fitur terbaru dari The Memo X

Aplikasi berbahaya Office 365 adalah orang dalam utama – Krebs tentang Keamanan

Menargetkan phisher Microsoft Office 365 Semakin banyak pengguna yang beralih ke link khusus yang mengarahkan pengguna ke halaman login email organisasi mereka. Setelah pengguna masuk, tautan tersebut memintanya untuk memasang aplikasi berbahaya tetapi dengan nama yang tidak berbahaya, yang memberikan akses terus menerus tanpa kata sandi kepada penyerang ke salah satu email dan file pengguna, keduanya dijarah karena meluncurkan malware dan phishing penipuan. Melawan orang lain.

Serangan ini dimulai dengan tautan email yang tidak mengunduh situs phishing tetapi halaman masuk Office 365 aktual pengguna – baik di microsoft.com atau domain perusahaan. Setelah masuk, pengguna mungkin melihat prompt yang terlihat seperti ini:

Aplikasi berbahaya ini memungkinkan penyerang untuk melewati otentikasi multi-faktor, mengingat pengguna menyetujuinya setelah pengguna tersebut masuk. Selain itu, aplikasi akan terus berada di akun Office 365 pengguna tanpa batas waktu hingga dihapus, dan aplikasi akan tetap berada di tempatnya bahkan setelah akun tersebut mereset kata sandinya.

Minggu ini, tulis surat ke vendor keamanan Anda Titik bukti Posting beberapa data baru Munculnya aplikasi berbahaya ini dari Office 365, mencatat bahwa persentase pengguna Office yang tinggi akan jatuh ke dalam sistem ini [full disclosure: Proofpoint is an advertiser on this website].

Ryan Calember55 persen pelanggan perusahaan telah menghadapi serangan aplikasi berbahaya ini pada satu titik atau lainnya, kata wakil presiden eksekutif strategi keamanan siber di Proofpoint.

“Dari mereka yang diserang, sekitar 22 persen – atau satu dari lima – berhasil ditembus,” kata Kalember.

Calmember mengatakan, pada tahun lalu, Microsoft berusaha membatasi penyebaran aplikasi Office yang berbahaya ini dengan membuat sistem verifikasi untuk penerbit aplikasi, yang mengharuskan penerbit tersebut menjadi anggota yang valid dari jaringan mitra Microsoft.

READ  Capture One 21 Update menambahkan kuas gaya, penampil impor, dan banyak lagi

Proses persetujuan ini merepotkan bagi penyerang, jadi mereka menemukan solusi sederhana. Sekarang, mereka merusak akun di penyewa tepercaya terlebih dahulu, Proofpoint menjelaskan. “Kemudian, mereka membuat, menghosting, dan menyebarkan malware cloud dari dalam.”

Penyerang yang bertanggung jawab menyebarkan aplikasi Office yang berbahaya ini tidak mencari kata sandi, dan dalam skenario ini, mereka bahkan tidak dapat melihatnya. Sebaliknya, mereka berharap bahwa setelah masuk, pengguna akan mengklik “Ya” untuk setuju menginstal aplikasi berbahaya tetapi bernama tidak berbahaya di akun Office365 mereka.

Calmember mengatakan bahwa penipu di balik aplikasi berbahaya ini biasanya menggunakan akun email yang disusupi untuk melakukan “peretasan email bisnis” atau penipuan BEC, yang melibatkan penyamaran email dari seseorang yang berwenang dalam suatu organisasi dan meminta pembayaran tagihan palsu. Kegunaan lain termasuk mengirim email malware dari akun email korban.

Tahun lalu, Proofpoint menulis tentang layanan di area penjahat cyber bawah tanah di mana klien dapat mengakses berbagai akun Office 365 tanpa nama pengguna atau kata sandi. Layanan ini juga mengumumkan kemampuan untuk mengekstrak dan memfilter email dan file berdasarkan kata kunci tertentu, serta melampirkan makro berbahaya ke semua dokumen di Microsoft OneDrive pengguna.

Layanan untuk penjahat dunia maya mengiklankan akses yang dijual ke akun Office365 yang disusupi. Foto: Proofpoint.

“Anda tidak memerlukan bot jika memiliki Office 365, dan Anda tidak memerlukan malware jika memilikinya [malicious] Kata Kalember. “Lebih mudah, dan cara yang baik untuk melewati otentikasi multi-faktor.”

Crepes tentang Keamanan Kami pertama kali memperingatkan tren ini pada Januari 2020. Cerita itu mengutip pernyataan Microsoft bahwa sementara organisasi yang menjalankan Office 365 dapat membatasi pengguna untuk menginstal aplikasi, melakukan hal itu adalah “langkah drastis” “yang sangat merusak kemampuan pengguna Anda untuk menjadi produktif dengan aplikasi pihak ketiga.”

READ  Siaran Asisten Google sekarang menguji konektivitas ponsel keluarga Anda

Sejak itu, Microsoft telah menambahkan kebijakan yang memungkinkan admin Office 365 mencegah pengguna menyetujui aplikasi dari penerbit yang tidak didukung. Selain itu, permintaan yang diposting setelah 8 November 2020, dipasangkan dengan peringatan layar persetujuan jika penerbit tidak diverifikasi, kebijakan penyewa memungkinkan untuk persetujuan.

Proofpoint mengatakan administrator O365 harus membatasi atau memblokir non-administrator yang dapat membuat aplikasi, dan mengaktifkan kebijakan penerbit terverifikasi Microsoft – mengingat sebagian besar malware cloud masih berasal dari penyewa Office 365 yang bukan bagian dari jaringan mitra Microsoft.