Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Authentic Antics: продвинутая угроза безопасности Outlook и OAuth 2.0

3 мин
Недавно специалисты в области кибербезопасности выявили сложный вид вредоносного ПО под названием Authentic Antics, направленный на кражу учетных данных и токенов OAuth 2.0 пользователей Outlook. Эта атака представляет особую опасность, поскольку вредоносная программа внедряется непосредственно в процесс работы Outlook и использует комплекс современных техник для обхода систем защиты и незаметного извлечения информации. Authentic Antics действует по следующему принципу: Dropper представляет собой 64-битную DLL-библиотеку, использующую обфускацию и методы манипуляции окружением, чтобы избежать обнаружения. Среди интересных технических решений выделяются: Перед отправкой собранные данные обфусцируются и сжимаются посредством gzip, а затем шифруются с помощью RSA с ключом длиной 2048 бит. Важной характеристикой Authentic Antics является продуманная интеграция с сервером авторизации Microsoft OAuth 2.0: Учитывая сложность и скрытность Authentic Antics, злоумышленникам удаётся эффективно об
Оглавление

Authentic Antics: новая угроза безопасности пользователей Outlook

Недавно специалисты в области кибербезопасности выявили сложный вид вредоносного ПО под названием Authentic Antics, направленный на кражу учетных данных и токенов OAuth 2.0 пользователей Outlook. Эта атака представляет особую опасность, поскольку вредоносная программа внедряется непосредственно в процесс работы Outlook и использует комплекс современных техник для обхода систем защиты и незаметного извлечения информации.

Как работает Authentic Antics

Authentic Antics действует по следующему принципу:

  • После запуска вредоносное ПО генерирует ложные запросы на ввод учетных данных Microsoft Office и токенов OAuth 2.0, которые пользователи вводят, не подозревая об угрозе.
  • Перехваченные данные применяются для несанкционированного доступа к корпоративной почте и связанным сервисам, таким как Exchange Online, SharePoint и OneDrive.
  • Для выполнения своих задач программа использует несколько компонентов: dropper, stealer и PowerShell-скрипты.

Технические особенности и методы обфускации

Dropper представляет собой 64-битную DLL-библиотеку, использующую обфускацию и методы манипуляции окружением, чтобы избежать обнаружения. Среди интересных технических решений выделяются:

  • Контроль частоты срабатывания через раздел реестра — stealer запускается только раз в шесть дней для долгосрочного скрытого сбора данных.
  • Проверка контекста выполнения: выполняется тщательная валидация процесса Outlook, включая название процесса и заголовки окон, чтобы снизить риск запуска в неподходящих условиях.
  • Использование исключительно легитимных служб Microsoft для маскировки сетевой активности и связи с внешними ресурсами.
  • Удаление украденных данных путем отправки писем с учетной записи жертвы на контролируемые злоумышленником адреса.
  • Отправленные сообщения при этом не отображаются в папке «Отправленные» жертвы, что обеспечивает дополнительный уровень скрытности.

Защита данных, взаимодействие с OAuth 2.0 и механизм стойкости

Перед отправкой собранные данные обфусцируются и сжимаются посредством gzip, а затем шифруются с помощью RSA с ключом длиной 2048 бит. Важной характеристикой Authentic Antics является продуманная интеграция с сервером авторизации Microsoft OAuth 2.0:

  • Вредоносное ПО контролирует всплывающие окна для имитации авторизации и перехвата кодов OAuth и учетных данных.
  • Поддерживается совместимость только с учётными записями, которые прошли аутентификацию через библиотеку Azure Active Directory Authentication Library (ADAL), при этом избегаются устаревшие методы единого входа.
  • Обеспечивается постоянство исполнения за счёт перехвата COM-кода, что гарантирует запуск dropper при каждом старте Outlook.
  • Для сокрытия функциональности используется мощная система обфускации строк, затрудняющая обратный анализ и детектирование вредоносного кода.

Опасность и рекомендации по защите

Учитывая сложность и скрытность Authentic Antics, злоумышленникам удаётся эффективно обходить традиционные методы защиты. Такое поведение представляет серьёзную угрозу безопасности корпоративных электронных почтовых ящиков и связанных сервисов.

Эксперты настоятельно рекомендуют:

  • Внедрять постоянный мониторинг учетных записей на предмет аномальной активности при входе.
  • Обращать особое внимание на любое подозрительное поведение приложений Microsoft Office, особенно Outlook.
  • Использовать современные решения для защиты от фишинга и сложных вредоносных программ с поддержкой анализа поведения и обфусцированных компонентов.

Таким образом, Authentic Antics — это яркий пример эволюции угроз в киберпространстве, демонстрирующий, насколько важна непрерывная проактивная защита и внимательность пользователей к безопасности своих учетных данных.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Authentic Antics: продвинутая угроза безопасности Outlook и OAuth 2.0".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.