Microsoft OAuth App Impersonation campagne leidt tot MFA phishing

Proofpoint heeft een cluster van activiteiten geïdentificeerd die Microsoft OAuth-applicaties aanmaken en omleidingen creëren die leiden tot kwaadaardige URL’s die credential phishing mogelijk maken. De activiteit werd begin 2025 voor het eerst waargenomen en is nog steeds aan de gang.

Het doel van de campagnes is om OAuth-applicaties te gebruiken als een toegangspoort om andere activiteiten uit te voeren, voornamelijk om toegang te verkrijgen tot Microsoft 365-accounts via MFA-phishing. De phishingcampagnes maken gebruik van multifactorauthenticatie (MFA) attacker-in-the-middle (AiTM) phishingkits, voornamelijk Tycoon. Dergelijke activiteiten kunnen worden gebruikt voor informatieverzameling, het installeren van malware of het uitvoeren van aanvullende phishingcampagnes vanuit gecompromitteerde accounts.

Proofpoint heeft deze techniek waargenomen in e-mailcampagnes met meer dan 50 geïmiteerde applicaties en meerdere verschillende phishingkits die deze aanvalsketen gebruiken, waaronder Tycoon en ODx. Het bedrijf heeft de waargenomen apps aan Microsoft gerapporteerd.

Opmerkelijk is dat Microsoft in juni 2025 aankondigde dat het de standaardinstellingen in Microsoft 365 bijwerkt door “verouderde authenticatieprotocollen te blokkeren en beheerdersgoedkeuring te vereisen voor toegang tot apps van derden. Wijzigingen beginnen medio juli 2025 en zijn voltooid in augustus 2025.” Deze update zal een positieve impact hebben op het algehele landschap en zal bedreigingsactoren die deze techniek gebruiken, belemmeren.

Kortom, bedreigingsactoren creëren steeds innovatievere aanvalsketens om detecties te omzeilen en wereldwijd toegang te verkrijgen tot organisaties. Onderzoekers verwachten dat bedreigingsactoren steeds vaker de identiteit van gebruikers zullen aanvallen, waarbij AiTM-credential phishing de criminele industriestandaard wordt.

Hieronder staan manieren om een organisatie te helpen zich te verdedigen tegen geavanceerde hybride (e-mail en cloud) bedreigingen:

Klik hier voor het volledige rapport.

Over Proofpoint Inc.

Proofpoint, Inc. is een toonaangevend cybersecurity-bedrijf dat de belangrijkste activa en grootste risico’s van organisaties beschermt: hun werknemers. Proofpoint helpt bedrijven over de hele wereld met zijn geïntegreerde suite van cloud-oplossingen om gerichte bedreigingen te stoppen, hun data te beschermen en hun gebruikers minder vatbaar te maken voor cyber- aanvallen. Toonaangevende organisaties van elke omvang, inclusief 85 procent van de Fortune 100, vertrouwen op Proofpoints mensgerichte oplossingen voor security en compliance om hun belangrijkste security- en compliance-risico’s te beperken. Dit geldt voor e-mail, cloud, sociale media en het web. Meer informatie is beschikbaar op www.proofpoint.com.

Volg Proofpoint: X | LinkedIn | YouTube

Proofpoint is een geregistreerd handelsmerk of handelsnaam van Proofpoint, Inc. in de VS en/of andere landen. Alle andere handelsmerken in dit document zijn eigendom van hun respectieve eigenaars.