Na segunda-feira, a Microsoft alertou sobre campanhas de phishing que utilizam e-mails maliciosos e mecanismos de redirecionamento via URLs OAuth para contornar as defesas tradicionais contra phishing, tanto em e-mails quanto em navegadores.
Segundo a empresa, essas ações têm como alvo organizações governamentais e do setor público, com o objetivo final de redirecionar as vítimas para uma infraestrutura controlada pelos atacantes, sem necessidade de roubo dos tokens de autenticação.
A Microsoft classificou esses ataques como uma ameaça baseada em identidade, que explora comportamentos previstos no padrão OAuth, em vez de vulnerabilidades em software ou roubo direto de credenciais.
“O OAuth inclui uma funcionalidade legítima que permite aos provedores de identidade redirecionar usuários para uma página específica, geralmente em cenários de erro ou fluxos definidos”, explicou a equipe de pesquisa do Microsoft Defender Security.
Os criminosos exploram essa funcionalidade nativa ao criar URLs que manipulam parâmetros em provedores populares como Entra ID ou Google Workspace, ou ainda por meio de aplicativos maliciosos associados, para direcionar usuários a páginas hospedadas em domínios controlados por eles.
Assim, as URLs aparentam ser confiáveis, mas levam a destinos maliciosos.
O ataque começa com a criação de um aplicativo malicioso dentro de um tenant controlado pelo ator da ameaça.
Esse app é configurado com uma URL de redirecionamento que aponta para um domínio fraudulento onde está hospedado o malware.
Os criminosos enviam links de phishing OAuth, instruindo as vítimas a se autenticarem no aplicativo malicioso utilizando um escopo propositalmente inválido.
Esse redirecionamento faz com que os usuários baixem e infectem suas próprias máquinas com malware.
Os arquivos maliciosos são distribuídos em formato ZIP, que, ao serem descompactados, executam comandos PowerShell, realizam DLL side-loading e iniciam as fases prévias a um ransomware, com atividades manuais avançadas, detalhou a Microsoft.
Dentro do ZIP há um atalho do Windows (LNK) que, ao ser aberto, executa um comando PowerShell usado para reconhecimento do sistema, por meio de comandos de descoberta.
Esse arquivo também extrai um instalador MSI, que deixa um documento falso para enganar a vítima, enquanto uma DLL maliciosa chamada “crashhandler.dll” é carregada por meio de um binário legítimo (“steam_monitor.exe”).
A DLL então descriptografa um arquivo adicional, “crashlog.dat”, e executa o payload final diretamente na memória, estabelecendo conexão com um servidor de comando e controle (C2) externo.
Os e-mails usados para disseminar a campanha trazem iscas relacionadas a solicitações de assinatura eletrônica, gravações do Teams, temas de seguro social, financeiros e políticos, para induzir os usuários a clicarem nos links.
Essas mensagens são enviadas por ferramentas de disparo em massa e soluções personalizadas em Python e Node.js.
Os links podem estar presentes diretamente no corpo do e-mail ou inseridos em documentos PDF anexados.
“Para aumentar a credibilidade, os atacantes incluíram o endereço de e-mail da vítima no parâmetro state, usando várias técnicas de codificação, fazendo com que ele fosse preenchido automaticamente na página de phishing”, detalhou a Microsoft.
O parâmetro state deveria ser gerado aleatoriamente para correlacionar solicitações e respostas, mas foi reutilizado para transportar endereços de e-mail codificados.
Enquanto algumas campanhas entregam malware, outras redirecionam usuários para páginas baseadas em frameworks de phishing como o EvilProxy, que atuam como kits de adversário no meio (AitM) para interceptar credenciais e cookies de sessão.
A Microsoft já removeu diversas aplicações OAuth maliciosas identificadas durante a investigação.
Para mitigar riscos, recomenda-se que organizações restrinjam o consentimento de usuários, revisem periodicamente as permissões concedidas a aplicativos e excluam aqueles que estejam ociosos ou com privilégios excessivos.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...