Authentic Antics: продвинутая угроза безопасности Outlook и OAuth 2.0
Authentic Antics: новая угроза безопасности пользователей Outlook
Недавно специалисты в области кибербезопасности выявили сложный вид вредоносного ПО под названием Authentic Antics, направленный на кражу учетных данных и токенов OAuth 2.0 пользователей Outlook. Эта атака представляет особую опасность, поскольку вредоносная программа внедряется непосредственно в процесс работы Outlook и использует комплекс современных техник для обхода систем защиты и незаметного извлечения информации.
Как работает Authentic Antics
Authentic Antics действует по следующему принципу:
- После запуска вредоносное ПО генерирует ложные запросы на ввод учетных данных Microsoft Office и токенов OAuth 2.0, которые пользователи вводят, не подозревая об угрозе.
- Перехваченные данные применяются для несанкционированного доступа к корпоративной почте и связанным сервисам, таким как Exchange Online, SharePoint и OneDrive.
- Для выполнения своих задач программа использует несколько компонентов: dropper, stealer и PowerShell-скрипты.
Технические особенности и методы обфускации
Dropper представляет собой 64-битную DLL-библиотеку, использующую обфускацию и методы манипуляции окружением, чтобы избежать обнаружения. Среди интересных технических решений выделяются:
- Контроль частоты срабатывания через раздел реестра — stealer запускается только раз в шесть дней для долгосрочного скрытого сбора данных.
- Проверка контекста выполнения: выполняется тщательная валидация процесса Outlook, включая название процесса и заголовки окон, чтобы снизить риск запуска в неподходящих условиях.
- Использование исключительно легитимных служб Microsoft для маскировки сетевой активности и связи с внешними ресурсами.
- Удаление украденных данных путем отправки писем с учетной записи жертвы на контролируемые злоумышленником адреса.
- Отправленные сообщения при этом не отображаются в папке «Отправленные» жертвы, что обеспечивает дополнительный уровень скрытности.
Защита данных, взаимодействие с OAuth 2.0 и механизм стойкости
Перед отправкой собранные данные обфусцируются и сжимаются посредством gzip, а затем шифруются с помощью RSA с ключом длиной 2048 бит. Важной характеристикой Authentic Antics является продуманная интеграция с сервером авторизации Microsoft OAuth 2.0:
- Вредоносное ПО контролирует всплывающие окна для имитации авторизации и перехвата кодов OAuth и учетных данных.
- Поддерживается совместимость только с учётными записями, которые прошли аутентификацию через библиотеку Azure Active Directory Authentication Library (ADAL), при этом избегаются устаревшие методы единого входа.
- Обеспечивается постоянство исполнения за счёт перехвата COM-кода, что гарантирует запуск dropper при каждом старте Outlook.
- Для сокрытия функциональности используется мощная система обфускации строк, затрудняющая обратный анализ и детектирование вредоносного кода.
Опасность и рекомендации по защите
Учитывая сложность и скрытность Authentic Antics, злоумышленникам удаётся эффективно обходить традиционные методы защиты. Такое поведение представляет серьёзную угрозу безопасности корпоративных электронных почтовых ящиков и связанных сервисов.
Эксперты настоятельно рекомендуют:
- Внедрять постоянный мониторинг учетных записей на предмет аномальной активности при входе.
- Обращать особое внимание на любое подозрительное поведение приложений Microsoft Office, особенно Outlook.
- Использовать современные решения для защиты от фишинга и сложных вредоносных программ с поддержкой анализа поведения и обфусцированных компонентов.
Таким образом, Authentic Antics — это яркий пример эволюции угроз в киберпространстве, демонстрирующий, насколько важна непрерывная проактивная защита и внимательность пользователей к безопасности своих учетных данных.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
