I ricercatori di sicurezza di Microsoft hanno campagne reported di phishing che sfruttano i meccanismi di reindirizzamento OAuth per consegnare malware e reindirizzare le vittime verso infrastrutture controllate dagli attaccanti. L’attività dimostra come gli attori delle minaccie possano sfruttare processi di autenticazione legittimi per aggirare le comuni tutele di sicurezza di email e browser.
OAuth è uno standard di autorizzazione aperto ampiamente utilizzato dai servizi online per permettere agli utenti di accedere e concedere alle applicazioni l’accesso ai propri account senza condividere password. Il protocollo consente ai provider di identità di emettere token che consentono ai servizi di terze parti di accedere a specifiche risorse per conto dell’utente. Poiché il processo si basa su flussi di autenticazione affidabili e su reindirizzamento tra servizi, è frequentemente utilizzato in ambienti aziendali e cloud.
Secondo l’analisi di Microsoft, gli attaccanti stanno sfruttando il comportamento di gestione degli errori all’interno dei flussi di autorizzazione OAuth. Sfruttando questi meccanismi legittimi di reindirizzamento, le applicazioni dannose possono reindirizzare gli utenti da fornitori di identità affidabili verso siti controllati dagli attaccanti. La tecnica consente alle pagine di phishing o all’infrastruttura di hosting malware di apparire come parte di un normale processo di login o autenticazione.
I ricercatori hanno affermato che le campagne tipicamente iniziano con email di phishing che incoraggiano i destinatari a cliccare su link relativi all’attività sul posto di lavoro. Esempi di queste esche includono inviti a visualizzare documenti, registrazioni di riunioni, richieste di firma elettronica o messaggi che sembrano provenire da piattaforme di collaborazione. Quando le vittime cliccano sul link, vengono instradate attraverso endpoint di autenticazione legittimi prima di essere reindirizzate verso destinazioni dannose.
In alcuni casi, la catena di reindirizzamento porta infine alla consegna di malware. Microsoft ha osservato attacchi che distribuiscono archivi ZIP contenenti scorciatoie di Windows che eseguono comandi PowerShell quando vengono aperti. I comandi effettuano ricognizione sul sistema infetto, raccolgono informazioni sull’ambiente e poi distribuiscono componenti dannosi aggiuntivi. I payload possono includere installatori che rilasciano documenti esca per mascherare l’attacco mentre file dannosi vengono caricati tramite tecniche di caricamento laterale DLL.
Altre campagne utilizzano la stessa tecnica di reindirizzamento dell’abuso per indirizzare le vittime verso un avversario nel mezzo di framework di phishing. Questi sistemi intercettano credenziali e cookie di autenticazione, permettendo agli attaccanti di accedere agli account online anche quando viene utilizzata l’autenticazione multifattore.
Microsoft ha osservato che gli attaccanti manipolano anche i parametri utilizzati nelle richieste di autenticazione OAuth. In alcuni casi, gli attori della minaccia codificano l’indirizzo email del bersaglio in un parametro di richiesta progettato per correlare le risposte di autenticazione. Quando le vittime vengono reindirizzate alla pagina phishing, l’indirizzo email viene automaticamente popolato, il che può aumentare la credibilità del prompt di accesso.
L’azienda ha affermato che le campagne illustrano come gli aggressori stiano cambiando tattica mentre le organizzazioni rafforzano le difese contro il furto di credenziali e il bypass dell’autenticazione multifattore. Invece di rubare direttamente le password, gli avversari puntano sempre più spesso alle relazioni di fiducia e al comportamento dei protocolli all’interno dei sistemi di identità ampiamente utilizzati.
Microsoft raccomanda alle organizzazioni di monitorare l’attività delle applicazioni OAuth, rivedere le configurazioni di reindirizzamento e limitare applicazioni rischiose o sconosciute. Si consiglia inoltre ai team di sicurezza di monitorare i flussi di autenticazione insoliti e di informare gli utenti sui link sospetti che potrebbero sembrare provenire da servizi legittimi.
I risultati evidenziano le sfide nel difendersi da attacchi che si basano su infrastrutture affidabili e comportamenti conformi agli standard. Poiché l’attività dannosa avviene all’interno di flussi di autenticazione legittimi, può confondersi con il normale traffico aziendale e eludere gli strumenti tradizionali di rilevamento del phishing.