Na začátku roku 2025 byla zaznamenána nová vlna útoků, při níž útočníci napodobují firemní aplikace Microsoft OAuth, aby získali přístup k účtům Microsoft 365. Využívají přitom nástroje Tycoon a ODx, které dokážou obejít i vícefaktorové ověřování. Podle bezpečnostní firmy Proofpoint e-mailové kampaně imitovaly více než padesát různých aplikací, mezi nimi RingCentral, SharePoint, Adobe nebo DocuSign.

Celý útok často začíná neškodně vypadajícím e-mailem s odkazem na cenovou nabídku či smlouvu. Po kliknutí je oběť přesměrována na stránku Microsoft OAuth pro falešnou aplikaci „iLSMART“, která žádá oprávnění k základnímu profilu a přístupu k již uděleným datům. Tato práva sice sama o sobě poskytují jen omezené možnosti, ale otevírají dveře k dalším fázím. Jak uvedl Proofpoint: „Oprávnění aplikace by útočníkovi poskytla omezené možnosti, ale slouží k přípravě další fáze útoku.“

Ať už uživatel přístup povolí nebo odmítne, systém jej přesměruje na CAPTCHA a následně na podvrženou přihlašovací stránku Microsoft. Právě zde sada Tycoon provede útok typu AiTM, který dokáže zachytit přihlašovací údaje i kódy MFA. Nedávno byla odhalena také varianta napodobující Adobe, kdy e-maily rozesílané přes Twilio SendGrid lákaly ke schválení přístupu nebo k phishingové stránce. V průběhu roku 2025 bylo zaznamenáno téměř tři tisíce pokusů o kompromitaci v devíti stech prostředích Microsoft 365. „Hackeři vytvářejí stále inovativnější řetězce útoků, aby obešli detekce a pronikli do organizací po celém světě,“ upozornil Proofpoint.

Microsoft reaguje změnou pravidel. Od července 2025 začalo postupné blokování zastaralých autentizačních protokolů a zavedení výchozího požadavku na souhlas správce při přístupech třetích stran. Tento proces má být dokončen v srpnu. Firma zároveň chystá automatické blokování nebezpečných souborových odkazů v Excelu mezi říjnem 2025 a červencem 2026.

Zdroj: The Hacker News