Investigadores de seguridad en Microsoft tienen reported campañas de phishing que abusan de los mecanismos de redirección OAuth para entregar malware y redirigir a las víctimas a infraestructuras controladas por los atacantes. La actividad demuestra cómo los actores malintencionados pueden explotar procesos legítimos de autenticación para eludir las protecciones comunes de seguridad del correo electrónico y del navegador.
OAuth es un estándar de autorización abierta ampliamente utilizado por servicios en línea para permitir a los usuarios iniciar sesión y conceder acceso a sus cuentas a las aplicaciones sin compartir contraseñas. El protocolo permite a los proveedores de identidad emitir tokens que permiten a servicios de terceros acceder a recursos específicos en nombre del usuario. Debido a que el proceso depende de flujos de autenticación confiables y de la redirección entre servicios, se utiliza frecuentemente en entornos empresariales y en la nube.
Según el análisis de Microsoft, los atacantes están explotando el comportamiento de manejo de errores dentro de los flujos de autorización de OAuth. Al abusar de estos mecanismos legítimos de redirección, las aplicaciones maliciosas pueden redirigir a los usuarios de proveedores de identidad confiables a sitios controlados por atacantes. La técnica permite que las páginas de phishing o la infraestructura de alojamiento de malware aparezcan como parte de un proceso normal de inicio de sesión o autenticación.
Los investigadores señalaron que las campañas suelen comenzar con correos electrónicos de phishing que animan a los destinatarios a hacer clic en enlaces relacionados con la actividad laboral. Ejemplos de estos señuelos incluyen invitaciones para ver documentos, grabaciones de reuniones, solicitudes de firma electrónica o mensajes que parecen provenir de plataformas de colaboración. Cuando las víctimas hacen clic en el enlace, son enrutadas a través de endpoints legítimos de autenticación antes de ser redirigidas a destinos maliciosos.
En algunos casos, la cadena de redirección conduce finalmente a la entrega de malware. Microsoft observó ataques que distribuyen archivos ZIP que contienen archivos de acceso directo de Windows que ejecutan comandos PowerShell al abrirse. Los comandos realizan reconocimiento del sistema infectado, recopilan información sobre el entorno y luego despliegan componentes maliciosos adicionales. Las cargas útiles pueden incluir instaladores que sueltan documentos señuelo para disfrazar el ataque mientras se cargan archivos maliciosos mediante técnicas de carga lateral DLL.
Otras campañas utilizan la misma técnica de abuso de redirección para dirigir a las víctimas hacia un adversario en medio de frameworks de phishing. Estos sistemas interceptan credenciales y cookies de autenticación, permitiendo a los atacantes acceder a cuentas en línea incluso cuando se utiliza autenticación multifactor.
Microsoft señaló que los atacantes también manipulan los parámetros utilizados en las solicitudes de autenticación OAuth. En algunos casos, los actores de amenazas codifican la dirección de correo electrónico del objetivo en un parámetro de solicitud diseñado para correlacionar las respuestas de autenticación. Cuando las víctimas son redirigidas a la página de phishing, la dirección de correo electrónico se llena automáticamente, lo que puede aumentar la credibilidad del prompt de inicio de sesión.
La empresa afirmó que las campañas ilustran cómo los atacantes están cambiando de táctica, ya que las organizaciones refuerzan sus defensas contra el robo de credenciales y la elusión de autenticación multifactor. En lugar de robar contraseñas directamente, los adversarios cada vez más se dirigen a las relaciones de confianza y al comportamiento de protocolos dentro de sistemas de identidad ampliamente utilizados.
Microsoft recomienda que las organizaciones supervisen la actividad de las aplicaciones OAuth, revisen configuraciones de redirección y restrinjan aplicaciones arriesgadas o desconocidas. También se recomienda a los equipos de seguridad monitorizar los flujos de autenticación inusuales y educar a los usuarios sobre enlaces sospechosos que puedan parecer originarse en servicios legítimos.
Los resultados ponen de manifiesto los desafíos de defenderse contra ataques que dependen de infraestructuras confiables y comportamientos que cumplen con los estándares. Debido a que la actividad maliciosa ocurre dentro de los flujos legítimos de autenticación, puede mezclarse con el tráfico empresarial normal y evadir las herramientas tradicionales de detección de phishing.