A Microsoft alertou para campanhas de phishing que exploram o funcionamento legítimo do OAuth para redirecionar vítimas a páginas e arquivos maliciosos, mesmo quando a autenticação falha. Segundo o relato, os ataques foram divulgados em março e têm como alvos prioritários organizações governamentais e do setor público. De acordo com informações do TecMundo, a técnica não depende do roubo direto de credenciais para avançar na cadeia de infecção.
O ponto central da campanha é o uso de recursos previstos na especificação do protocolo para acionar redirecionamentos controlados por atacantes. Na prática, a vítima pode ser levada a um domínio malicioso após uma tentativa de login que não chega a ser concluída. Por isso, o alerta se concentra menos em uma falha isolada de plataforma e mais no uso indevido de comportamentos aceitos pelo padrão de autenticação.
O que é o OAuth e como ele entra nesse tipo de ataque?
O OAuth é um protocolo de autorização usado amplamente em serviços digitais, inclusive em opções como “Entrar com o Google” e “Entrar com a Microsoft”. Ele permite confirmar a identidade do usuário e autorizar acesso a determinados recursos em seu nome, com base em regras padronizadas.
De acordo com a reportagem original, o protocolo inclui um mecanismo de redirecionamento para lidar com erros de autenticação. Em condições normais, esse retorno leva o usuário a uma página segura previamente cadastrada pelo desenvolvedor do aplicativo. O problema, segundo a investigação relatada, é que criminosos conseguem registrar aplicativos falsos em plataformas como Microsoft Entra ID ou Google Workspace e definir como destino um servidor sob seu controle.
Para provocar o redirecionamento, os atacantes combinam dois elementos previstos na própria especificação do OAuth:
- o parâmetro prompt=none, que tenta autenticar o usuário sem exibir tela de login;
- um escopo inválido, usado para garantir que a autenticação falhe.
Quando essa falha ocorre, o provedor de identidade redireciona o navegador para o URI registrado, acompanhado de um código de erro. Se esse endereço foi configurado pelo atacante, a vítima acaba enviada automaticamente ao domínio malicioso.
Por que a técnica preocupa pesquisadores e equipes de segurança?
O texto destaca que esse comportamento está previsto nas especificações RFC 6749 e RFC 9700. Isso significa que a técnica não seria uma falha exclusiva da Microsoft ou do Google, mas algo potencialmente replicável em serviços compatíveis com OAuth.
Outro fator de preocupação é a forma de distribuição. As iscas chegam por e-mail com temas corporativos comuns, o que aumenta a chance de interação. Entre os formatos citados estão solicitações de assinatura eletrônica, comunicados previdenciários, alertas financeiros, redefinições de senha e relatórios de recursos humanos.
Em alguns casos, a URL maliciosa aparece dentro de um arquivo PDF enviado sem conteúdo no corpo da mensagem. Também foram observados anexos falsos de convite de calendário no formato .ics, apresentados como se fossem reuniões reais. Segundo a apuração reproduzida pelo TecMundo, os atacantes ainda reutilizam o parâmetro state para transportar o endereço de e-mail da vítima codificado, fazendo com que ele apareça preenchido automaticamente na página de phishing.
O que acontece após o redirecionamento da vítima?
Depois que a vítima é levada ao destino malicioso, os cenários variam conforme a campanha. Parte dos usuários é encaminhada para plataformas intermediárias de phishing, como o EvilProxy, descritas como capazes de interceptar credenciais digitadas e cookies de sessão em tempo real.
Segundo o texto original, com esses cookies o invasor pode acessar a conta da vítima mesmo quando há autenticação em dois fatores. Em outras campanhas, o redirecionamento leva ao download automático de um arquivo ZIP com um atalho .LNK. Ao ser aberto, esse atalho executa um script PowerShell e inicia uma cadeia de comprometimento do dispositivo.
Essa cadeia inclui a coleta de informações do ambiente, como configurações de rede e processos em execução, antes da extração de três arquivos: steam_monitor.exe, crashhandler.dll e crashlog.dat. Em seguida, o ataque usa uma técnica de DLL sideloading, na qual um executável aparentemente legítimo carrega uma DLL maliciosa no lugar do arquivo original.
De acordo com a descrição da campanha, a DLL descriptografa o arquivo crashlog.dat e executa sua carga diretamente na memória, sem gravar arquivos adicionais no disco. Essa abordagem, associada ao chamado fileless malware, dificulta a detecção por antivírus tradicionais. Ao final, o malware se conecta a um servidor externo de comando e controle, de onde o atacante pode enviar instruções, extrair dados ou instalar novos componentes.
Qual foi a resposta da Microsoft?
O Microsoft Entra ID desativou os aplicativos OAuth identificados durante a investigação. Ainda assim, a empresa alertou, segundo a reportagem, que a atividade relacionada continua e exige monitoramento constante.
O caso chama atenção por mostrar como recursos legítimos de autenticação podem ser usados em campanhas maliciosas sem depender, num primeiro momento, da coleta direta de login e senha. Para organizações públicas e privadas, o alerta reforça a necessidade de acompanhar padrões de redirecionamento, analisar anexos suspeitos e revisar o uso de aplicativos registrados em plataformas de identidade.
