Pesquisadores de segurança da Microsoft têm reported campanhas de phishing que abusam dos mecanismos de redirecionamento OAuth para entregar malware e redirecionar as vítimas para infraestrutura controlada por atacantes. A atividade demonstra como agentes ameaçadores podem explorar processos legítimos de autenticação para burlar as proteções comuns de segurança de e-mails e navegadores.
OAuth é um padrão de autorização aberta amplamente utilizado por serviços online para permitir que usuários façam login e concedam acesso a aplicativos às suas contas sem compartilhar senhas. O protocolo permite que provedores de identidade emitam tokens que permitem que serviços de terceiros acessem recursos específicos em nome do usuário. Como o processo depende de fluxos de autenticação confiáveis e redirecionamento entre serviços, ele é frequentemente utilizado em ambientes empresariais e em nuvem.
De acordo com a análise da Microsoft, os atacantes estão explorando o comportamento de manejo de erros dentro dos fluxos de autorização OAuth. Ao abusar desses mecanismos legítimos de redirecionamento, aplicativos maliciosos podem redirecionar usuários de provedores de identidade confiáveis para sites controlados por atacantes. A técnica permite que páginas de phishing ou infraestrutura de hospedagem de malware apareçam como parte de um processo normal de login ou autenticação.
Pesquisadores disseram que as campanhas normalmente começam com e-mails de phishing que incentivam os destinatários a clicar em links relacionados à atividade no local de trabalho. Exemplos dessas iscas incluem convites para visualizar documentos, gravações de reuniões, pedidos de assinatura eletrônica ou mensagens que parecem vir de plataformas de colaboração. Quando as vítimas clicam no link, elas são encaminhadas por endpoints legítimos de autenticação antes de serem redirecionadas para destinos maliciosos.
Em alguns casos, a cadeia de redirecionamento leva, em última análise, à entrega de malware. A Microsoft observou ataques distribuindo arquivos ZIP contendo atalhos do Windows que executam comandos PowerShell quando abertos. Os comandos realizam reconhecimento no sistema infectado, coletam informações sobre o ambiente e então implantam componentes maliciosos adicionais. Os payloads podem incluir instaladores que soltam documentos isca para disfarçar o ataque enquanto arquivos maliciosos são carregados por meio de técnicas de carregamento lateral DLL.
Outras campanhas usam a mesma técnica de redirecionamento de abuso para direcionar as vítimas a um adversário no meio de frameworks de phishing. Esses sistemas interceptam credenciais e cookies de autenticação, permitindo que atacantes acessem contas online mesmo quando autenticação multifator é utilizada.
A Microsoft observou que atacantes também manipulam parâmetros usados em solicitações de autenticação OAuth. Em alguns casos, agentes ameaçadores codificam o endereço de e-mail do alvo em um parâmetro de solicitação projetado para correlacionar respostas de autenticação. Quando as vítimas são redirecionadas para a página de phishing, o endereço de e-mail é automaticamente preenchido, o que pode aumentar a credibilidade do prompt de login.
A empresa afirmou que as campanhas ilustram como os atacantes estão mudando de tática à medida que as organizações fortalecem as defesas contra roubo de credenciais e o bypass de autenticação multifator. Em vez de roubar senhas diretamente, os adversários estão cada vez mais mirando em relacionamentos de confiança e comportamentos de protocolos dentro de sistemas de identidade amplamente utilizados.
A Microsoft recomenda que as organizações monitorem a atividade das aplicações OAuth, revisem configurações de redirecionamento e restrinjam aplicações arriscadas ou desconhecidas. As equipes de segurança também são aconselhadas a monitorar fluxos de autenticação incomuns e educar os usuários sobre links suspeitos que possam parecer originados de serviços legítimos.
As descobertas destacam os desafios de se defender contra ataques que dependem de infraestrutura confiável e comportamentos em conformidade com padrões. Como a atividade maliciosa ocorre dentro de fluxos legítimos de autenticação, ela pode se misturar ao tráfego corporativo normal e evitar as ferramentas tradicionais de detecção de phishing.