- A Microsoft alertou que os hackers estão abusando do recurso de redirecionamento OAuth para entregar malware
- E-mails de phishing sobre gravações do Teams ou redefinições 365 redirecionam as vítimas para sites controlados pelo invasor
- As cargas são descartadas por meio de arquivos ZIP com atalhos LNK e contrabando de HTML; o estágio final é conectado ao C2 externo
Os hackers estão usando um recurso de redirecionamento no OAuth para infectar os computadores das pessoas com malware e roubar credenciais de login, alertou a Microsoft.
OAuth (abreviação de Open Authorization) permite que os usuários acessem sites usando uma conta de outro serviço, sem fornecer uma senha a esse site. Sempre que um pop-up “Fazer login com o Google” for exibido, provavelmente é OAuth.
Este sistema possui um recurso de redirecionamento que os provedores de identidade podem usar para enviar visitantes para outra página de destino, geralmente se o processo resultar em um erro, mas a Microsoft afirma que esse recurso está sendo abusado.
Baixando carga útil
Em ataques recentes, os criminosos enviaram e-mails de phishing para organizações governamentais e do setor público, normalmente em torno de gravações de reuniões do Teams ou solicitações de redefinição de senha do Microsoft 365. Esses e-mails conteriam um link com parâmetros cuidadosamente elaborados que, se clicados, abririam o OAuth e causariam um erro.
O erro levaria os usuários a serem redirecionados para um site semelhante a um serviço de phishing de propriedade dos invasores, onde cargas maliciosas estão hospedadas.
“Ao hospedar a carga útil em um URI de redirecionamento de aplicativo sob seu controle, os invasores podem alternar ou alterar rapidamente os domínios de redirecionamento quando são bloqueados por filtros de segurança”, explicou a Microsoft em uma postagem no blog.
Em um ataque observado, as vítimas foram redirecionadas para um caminho /download/XXXX que baixou um arquivo ZIP. Esse arquivo continha atalhos LNK e bootloaders HTML e, quando as vítimas abriam os arquivos de atalho, lançavam um comando do PowerShell. Este comando também executou comandos find e lançou um executável legítimo, que, com a ajuda de uma DLL carregada lateralmente maliciosa, executou a carga final.
O resultado foi uma conexão de saída para um endpoint C2 externo.
É importante notar que as vítimas não perderam suas credenciais de login na página OAuth – elas foram usadas como uma função de redirecionamento para remover uma carga útil. Por enquanto, não sabemos quão difundida está a campanha, nem quantas instituições governamentais foram afetadas.
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber novidades, análises, unboxings em formato de vídeo e receber atualizações constantes nossas WhatsApp também
