なりすましOAuthによるアカウント情報取得キャンペーン

OAuthは、ユーザーを承認するための技術標準です。
これは複数のWebサービスを連携して動作させるために使われる仕組みで、シングルサインオンの仕組みとして、WebサービスやSNSの連携に利用されています。
あちこちのサイトで個別のユーザアカウントを作成する必要がなくなり、便利です。
利用は広がっています。
便利なのは一般の利用者にとってだけではありません。
広く認識されるようになった便利な技術は、脅威アクターにとっても良いテーマとなってしまいます。

なりすましOAuthによるアカウント情報取得キャンペーンが確認されています。
次のような流れで攻撃が行われます。

• メールが来る
  始まりはフィッシングメールです。
  侵害された電子メールアカウント（おそらくOffice365アカウント）を使用して慈善団体または中小企業から送信されます。
  巧妙な内容がメール本文に記載されていて、メールに記載のリンクをクリックさせようとする内容となっています。
• サイトが表示される
  メールのリンクをクリックすると、メール受信者が見ようとしたコンテンツが表示される代わりに、OAuthが表示されます。
  このOAuthのサイトは巧妙に通常のサイトであるように装った内容となっていますが、脅威アクターが用意したサイトとなっています。
  要求される権限は高いものではありません。
  ユーザ名を参照できるようになる権限、メールアドレスを参照できるようになる権限、Microsoftアカウントの詳細を取得できるようになる権限、などです。
• 数段階リダイレクトされる
  OAuthを経た後、ユーザは何段階かリダイレクトされます。
  最終的にたどりつくサイトは、マルウェアへのフィッシングフォームを表示するランディングページでした。

メールのリンクをクリックした人が表示されたサイトでマルウェアを入手するかどうかに関係なく、すでに その人のいくつかの情報はOAuthで脅威アクターに取得されています。
取得された情報そのものだけによっては、ひどい攻撃にまで達してしまうことはないかもしれませんが、ここで取得した情報を使って さらなる攻撃に展開していってしまうことが懸念されます。
ここでリンクをクリックした人は、うっかりと認証許可をしてしまう人だということを脅威アクターが認識した状態になるわけですので。

クリックの前には、今何をしようとしているのか、よく考えないといけないということですね。

two ongoing, highly targeted campaigns combining OAuth redirection mechanisms with brand impersonation techniques, malware proliferation and #Microsoft365 themed #credential phishing for #Account Takeover

https://x.com/threatinsight/status/1899869276053635553