A Microsoft alertou organizações sobre golpes contínuos de abuso de OAuth que utilizam e-mails de phishing e redirecionamentos de URL para infectar máquinas de vítimas com malware e assumir o controle de seus dispositivos.
De acordo com um relatório da The Register, a expedição de phishing tem como alvo organizações governamentais e do setor público. Embora o Microsoft Entra tenha desativado os aplicativos OAuth maliciosos, a equipe de segurança da Microsoft avisou que “a atividade OAuth relacionada persiste e requer monitoramento contínuo”.
O OAuth (Open Authorization) é um padrão comumente usado para autorização online que utiliza credenciais de terceiros. Se um site oferece a opção de fazer login com uma conta Google, Facebook ou Apple, provavelmente está usando OAuth e depende do uso de tokens de acesso para que isso aconteça.
A Microsoft não respondeu às perguntas do The Register sobre o tamanho e o escopo dessas campanhas.
## Como criminosos abusam da função OAuth?
O OAuth possui um recurso legítimo que permite que provedores de identidade redirecionem usuários para uma página de destino em alguns cenários, geralmente quando um erro é acionado. As campanhas observadas pela Microsoft exploram esse recurso.
Criminosos podem abusar do recurso criando URLs com Microsoft Entra ID, Google Workspace ou outro provedor de identidade que redireciona usuários para páginas de destino controladas por atacantes, onde eles baixam malware sem saber. Em uma campanha documentada pela Microsoft, os criminosos tentaram entregar um payload malicioso contendo um arquivo executável que concedia aos invasores acesso total ao endpoint da vítima.
## Qual é a estratégia de ataque?
Todas essas campanhas começam com um e-mail de phishing, cujo texto inclui solicitações de assinatura eletrônica, a chance de acessar gravações de reuniões do Teams, instruções de redefinição de senha do Microsoft 365 e temas políticos para induzir os usuários a clicar no link malicioso.
“Indicadores sugerem que esses atores usaram ferramentas gratuitas de envio em massa pré-construídas, bem como soluções personalizadas desenvolvidas em Python e Node.js”, escreveu a Microsoft. “Em alguns casos, serviços de e-mail em nuvem e máquinas virtuais hospedadas na nuvem foram usados para distribuir as mensagens.”
Os invasores normalmente incorporavam os URLs maliciosos no corpo dos e-mails que enviam para as vítimas em potencial, mas em alguns casos colocavam o URL e a isca dentro de um anexo PDF.
## Como o ataque redireciona as vítimas?
O ataque redireciona as vítimas de uma página de autenticação OAuth para sites de phishing-as-a-service como o EvilProxy, permitindo que os ladrões digitais interceptem as credenciais dos usuários e os cookies de sessão.
Os atacantes abusam do comportamento de redirecionamento OAuth, enviando links de phishing que acionarão um erro usando uma combinação de parâmetros criados. Veja como é uma URL criada para o Entra ID:
https://login.microsoftonline.com/common/oauth2/v2.0/authorize
?client_id=
&response_type=code
&scope=
&prompt=none
&state=
## Qual o objetivo final dos criminosos?
“À primeira vista, isso se parece com uma solicitação de autorização OAuth padrão, mas vários parâmetros são intencionalmente mal utilizados”, escreveram os caçadores de ameaças da Microsoft.
É importante notar que os criminosos não estão roubando os tokens de acesso dos usuários nessas campanhas porque o usuário não concedeu permissão ao aplicativo para acessar um recurso. No entanto, roubar tokens não é o objetivo do golpe. Ele se destina a forçar um código de erro durante o login que redirecionará as vítimas para uma página de destino que hospeda payloads maliciosos.
“Ao hospedar o payload em um URI de redirecionamento de aplicativo sob seu controle, os atacantes podem girar ou alterar rapidamente os domínios redirecionados quando os filtros de segurança os bloqueiam”, escreveu a Microsoft.
Em uma dessas campanhas, o redirecionamento enviava as vítimas para um caminho /download/XXXX que baixava automaticamente um arquivo ZIP em seu dispositivo. Os payloads incluíam arquivos ZIP contendo arquivos de atalho LNK e carregadores de HTML smuggling.
Quando as vítimas abriam o arquivo de atalho LNK, isso levava à execução de um comando PowerShell que primeiro executava comandos de descoberta na máquina para fins de reconhecimento. Em seguida, lançava um arquivo legítimo – steam_monitor.exe – que era abusado para carregar lateralmente um arquivo DLL malicioso, crashhandler.dll.
“Esse DLL descriptografava crashlog.dat e executava o payload final na memória, estabelecendo, em última análise, uma conexão de saída com um endpoint C2 externo”, de acordo com a Microsoft.
