Microsoft a déclaré mardi avoir pris des mesures pour désactiver de faux comptes Microsoft Partner Network qui ont été utilisés pour créer des applications OAuth malveillantes dans le cadre d’une campagne malveillante visant à pénétrer dans les environnements cloud des organisations et à voler des courriels.
En outre, Microsoft a déclaré avoir mis en œuvre des mesures de sécurité supplémentaires afin d’améliorer le processus de vérification associé au programme de partenariat Microsoft Cloud et de minimiser les risques de fraude à l’avenir.
« L’acteur a utilisé des comptes partenaires frauduleux pour ajouter un éditeur vérifié aux enregistrements d’applications OAuth qu’il a créés dans Azure AD », a expliqué l’entreprise.
Elle a également indiqué que, contrairement à une campagne précédente qui compromettait les éditeurs vérifiés par Microsoft pour profiter des privilèges des applications OAuth, les dernières attaques sont conçues pour usurper l’identité d’éditeurs légitimes afin d’être vérifiés et de distribuer les applications malveillantes.
La campagne aurait pris fin le 27 décembre 2022, après que Proofpoint ait informé Microsoft de l’attaque le 20 décembre et que les applications aient été désactivées.
En septembre 2022, Microsoft a révélé qu’elle avait démantelé une attaque qui utilisait des applications OAuth malveillantes déployées sur des serveurs en nuage compromis pour prendre le contrôle de serveurs Exchange et distribuer des spams.
