Beveiligingsonderzoekers bij Microsoft voeren reported phishingcampagnes uit die OAuth-omleidingsmechanismen misbruiken om malware te leveren en slachtoffers door te leiden naar door aanvallers gecontroleerde infrastructuur. De activiteit toont aan hoe dreigingsactoren legitieme authenticatieprocessen kunnen misbruiken om veelvoorkomende e-mail- en browserbeveiligingsmaatregelen te omzeilen.
OAuth is een open autorisatiestandaard die veel wordt gebruikt door online diensten om gebruikers in te loggen en applicaties toegang te geven tot hun accounts zonder wachtwoorden te delen. Het protocol stelt identiteitsproviders in staat tokens uit te geven waarmee derde-partijdiensten namens een gebruiker toegang krijgen tot specifieke bronnen. Omdat het proces afhankelijk is van vertrouwde authenticatiestromen en doorverwijzing tussen services, wordt het vaak gebruikt in zowel ondernemings- als cloudomgevingen.
Volgens de analyse van Microsoft maken aanvallers misbruik van foutafhandelingsgedrag binnen OAuth-autorisatiestromen. Door misbruik te maken van deze legitieme omleidingsmechanismen kunnen kwaadaardige applicaties gebruikers van vertrouwde identiteitsproviders naar door aanvallers gecontroleerde sites doorverwijzen. De techniek maakt het mogelijk dat phishingpagina’s of malware-hostinginfrastructuur verschijnen als onderdeel van een normaal inlog- of authenticatieproces.
Onderzoekers zeiden dat de campagnes meestal beginnen met phishing-e-mails die ontvangers aanmoedigen om op links te klikken die verband houden met activiteiten op de werkvloer. Voorbeelden van deze lokken zijn uitnodigingen om documenten te bekijken, opnames van vergaderingen, verzoeken om elektronische handtekeningen of berichten die lijken te komen van samenwerkingsplatforms. Wanneer slachtoffers op de link klikken, worden ze via legitieme authenticatie-endpoints geleid voordat ze worden doorgestuurd naar kwaadaardige bestemmingen.
In sommige gevallen leidt de redirect-keten uiteindelijk tot de levering van malware. Microsoft zag aanvallen waarbij ZIP-archieven werden verspreid met Windows-sneltoetsbestanden die PowerShell-commando’s uitvoeren wanneer ze worden geopend. De commando’s voeren verkenning uit op het geïnfecteerde systeem, verzamelen informatie over de omgeving en plaatsen vervolgens extra kwaadaardige componenten in. De payloads kunnen installers bevatten die lokdocumenten plaatsen om de aanval te verbergen, terwijl kwaadaardige bestanden via DLL-sideloadingtechnieken worden geladen.
Andere campagnes gebruiken dezelfde redirect abuse-techniek om slachtoffers naar een tegenstander te leiden midden in phishingframeworks. Deze systemen onderscheppen inloggegevens en authenticatiecookies, waardoor aanvallers toegang krijgen tot online accounts, zelfs wanneer multi-factor authenticatie wordt gebruikt.
Microsoft merkte op dat aanvallers ook parameters manipuleren die worden gebruikt in OAuth-authenticatieverzoeken. In sommige gevallen coderen dreigingsactoren het e-mailadres van het doelwit in een verzoekparameter die is ontworpen om authenticatieantwoorden te correleren. Wanneer slachtoffers worden doorgestuurd naar de phishingpagina, wordt het e-mailadres automatisch ingevuld weergegeven, wat de geloofwaardigheid van de inlogprompt kan vergroten.
Het bedrijf zei dat de campagnes illustreren hoe aanvallers van tactiek veranderen naarmate organisaties hun verdediging tegen inlogdiefstal en het omzeilen van multi-factor authenticatie versterken. In plaats van direct wachtwoorden te stelen, richten tegenstanders zich steeds vaker op vertrouwensrelaties en protocolgedrag binnen veelgebruikte identiteitssystemen.
Microsoft aanbeveelt organisaties om OAuth-applicatieactiviteiten te monitoren, omleidingsconfiguraties te beoordelen en risicovolle of onbekende applicaties te beperken. Beveiligingsteams worden ook geadviseerd om ongebruikelijke authenticatiestromen te monitoren en gebruikers te informeren over verdachte links die lijken te komen van legitieme diensten.
De bevindingen benadrukken de uitdagingen van het verdedigen tegen aanvallen die afhankelijk zijn van betrouwbare infrastructuur en standaardconform gedrag. Omdat de kwaadaardige activiteit plaatsvindt binnen legitieme authenticatiestromen, kan deze opgaan in het normale bedrijfsverkeer en traditionele phishingdetectietools omzeilen.