Хакеры используют механизм перенаправления OAuth для обхода фишинговых защит в почте и браузерах, направляя пользователей на вредоносные страницы. Атаки нацелены на госсектор с помощью фишинговых ссылок, использующих ошибки OAuth для принудительного перенаправления. — bleepingcomputer.com
Злоумышленники используют легитимный механизм перенаправления OAuth для обхода фишинговых защит в электронной почте и браузерах, направляя пользователей на вредоносные страницы.
Атаки нацелены на государственные и общественные организации с помощью фишинговых ссылок, которые побуждают пользователей пройти аутентификацию в вредоносном приложении, сообщают исследователи Microsoft Defender.
Сообщения содержат запросы на электронную подпись, уведомления о социальном страховании, приглашения на встречи, сброс паролей или касаются различных финансовых и политических тем, содержащих URL-адреса перенаправления OAuth. Иногда URL-адреса встраиваются в PDF-файлы для обхода обнаружения.
Принуждение к рискованным перенаправлениям
Приложения OAuth регистрируются у поставщика удостоверений, такого как Microsoft Entra ID, и используют протокол OAuth 2.0 для получения делегированного доступа или доступа на уровне приложения к данным и ресурсам пользователя.
В кампаниях, замеченных Microsoft, злоумышленники создают вредоносные приложения OAuth в контролируемом ими клиенте и настраивают URI перенаправления, указывающий на их инфраструктуру.
Исследователи заявляют, что даже если URL-адреса для Entra ID выглядят как легитимные запросы на авторизацию, конечная точка вызывается с параметрами для бесшумной аутентификации без интерактивного входа и недопустимой областью действия (scope), что вызывает ошибки аутентификации. Это вынуждает поставщика удостоверений перенаправлять пользователей на URI перенаправления, настроенный злоумышленником.
В некоторых случаях жертв перенаправляют на фишинговые страницы, работающие на фреймворках типа «атака посредника» (attacker-in-the-middle), таких как EvilProxy, которые могут перехватывать действительные сеансовые файлы cookie для обхода многофакторной аутентификации (MFA).
Microsoft обнаружила, что параметр «state» использовался не по назначению для автоматического заполнения адреса электронной почты жертвы в поле учетных данных на фишинговой странице, что усиливало ощущение легитимности.
В других случаях жертв перенаправляют по пути «/download», который автоматически загружает ZIP-архив с вредоносными файлами ярлыков (.LNK) и инструментами для HTML-смурфинга.
Открытие .LNK запускает PowerShell, который выполняет разведку на скомпрометированном хосте и извлекает компоненты, необходимые для следующего шага — боковой загрузки DLL.
Вредоносная DLL (crashhandler.dll) расшифровывает и загружает в память финальную полезную нагрузку (crashlog.dat), в то время как легитимный исполняемый файл (stream_monitor.exe) загружает приманку, чтобы отвлечь жертву.
Microsoft рекомендует организациям ужесточить разрешения для приложений OAuth, внедрить надежную защиту удостоверений и политики условного доступа, а также использовать междоменное обнаружение в электронной почте, идентификации и конечных точках.
Компания подчеркивает, что наблюдаемые атаки являются угрозами, основанными на идентификации, которые злоупотребляют предполагаемым поведением в рамках OAuth, работающим в соответствии со стандартом, определяющим управление ошибками авторизации через перенаправления.
Исследователи предупреждают, что злоумышленники теперь вызывают ошибки OAuth через недопустимые параметры, такие как scope или prompt=none, чтобы инициировать бесшумные перенаправления с ошибками в рамках реальных атак.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas