【安全资讯】恶意Adobe和DocuSign OAuth应用程序针对Microsoft 365账户

概要：

近期，网络犯罪分子利用伪装成Adobe和DocuSign应用程序的恶意Microsoft OAuth应用程序，针对Microsoft 365账户进行攻击。这一安全威胁由Proofpoint研究人员发现，标志着网络钓鱼攻击的又一升级，影响了多个行业的用户。

主要内容：

这些恶意OAuth应用程序伪装成Adobe Drive、Adobe Drive X、Adobe Acrobat和DocuSign，旨在获取用户的Microsoft 365账户凭证。攻击者通过请求访问较低敏感权限（如个人资料、电子邮件和openid）来规避检测。一旦用户授予这些权限，攻击者便可获取用户的全名、用户ID、头像和主要电子邮件地址等信息。

Proofpoint指出，这些钓鱼邮件通常来自被攻陷的电子邮件账户，目标包括政府、医疗、供应链和零售等多个行业。攻击者利用RFP和合同诱饵，诱使受害者点击链接。虽然获得的权限仅提供有限数据，但这些信息仍可用于更具针对性的攻击。

一旦用户授权OAuth应用程序，攻击者会将其重定向到钓鱼页面，要求输入Microsoft 365凭证或下载恶意软件。Proofpoint表示，受害者在授权后经历了多次重定向，最终被引导至恶意域名的“O365登录”页面，且在授权后不到一分钟便检测到可疑的登录活动。

用户被建议对OAuth应用程序的权限请求保持警惕，务必核实其来源和合法性。Microsoft 365管理员也可通过设置限制用户对第三方OAuth应用程序请求的同意，增强安全性。