A Microsoft emitiu um alerta sobre campanhas de phishing que exploram o protocolo OAuth para atacar logins sem senha, visando principalmente organizações governamentais e do setor público. A técnica inovadora contorna as defesas tradicionais de phishing, redirecionando usuários para páginas maliciosas mesmo quando a autenticação falha.
Como Funciona o Ataque via OAuth
O OAuth, protocolo de autorização usado em serviços como “Entrar com o Google”, permite que um sistema confirme a identidade de um usuário e autorize o acesso a recursos. O ataque explora o mecanismo de redirecionamento do OAuth, que normalmente leva o usuário de volta a uma página segura em caso de erro de autenticação.
- Registro de Aplicativo Falso: Atacantes registram um aplicativo falso em plataformas como Microsoft Entra ID ou Google Workspace.
- Configuração de URI Malicioso: O URI de redirecionamento do aplicativo falso é configurado para apontar para um servidor controlado pelo atacante.
- Acionamento do Redirecionamento: Os atacantes usam os parâmetros
prompt=nonee um escopo inválido para forçar uma falha na autenticação. - Redirecionamento para Domínio Malicioso: Em caso de falha, o usuário é redirecionado para o URI malicioso, sem ter suas credenciais comprometidas diretamente.
Técnicas de Distribuição e Personalização
A distribuição dos ataques é feita por e-mail, utilizando iscas com temas corporativos comuns, como solicitações de assinatura eletrônica, comunicados previdenciários e alertas financeiros. Em alguns casos, a URL maliciosa está embutida em anexos PDF ou arquivos .ics.
- Anexos PDF: PDFs sem conteúdo no corpo da mensagem contêm a URL maliciosa, dificultando a detecção por sistemas de segurança.
- Anexos .ics: Convites de calendário falsos simulam reuniões reais para aumentar a credibilidade.
- Parâmetro State: O parâmetro
state, usado para segurança, é reaproveitado para transportar o endereço de e-mail da vítima codificado, preenchendo automaticamente o formulário de phishing.
Destinos Após o Redirecionamento
Após o redirecionamento, as vítimas são direcionadas para diferentes destinos, dependendo da campanha. Algumas são encaminhadas para plataformas de phishing intermediárias, enquanto outras são levadas a baixar arquivos maliciosos.
- Plataformas de Phishing Intermediárias: Plataformas como EvilProxy interceptam credenciais e cookies de sessão em tempo real, permitindo o acesso à conta da vítima mesmo com autenticação de dois fatores.
- Download de Arquivos Maliciosos: O download automático de um arquivo ZIP contendo um atalho .LNK executa um script PowerShell que inicia uma cadeia de comprometimento.
A Microsoft recomenda atenção redobrada a e-mails suspeitos e verificação cuidadosa de anexos e links, especialmente aqueles que solicitam informações de login ou redirecionam para páginas desconhecidas. A exploração do protocolo OAuth demonstra a crescente sofisticação das técnicas de phishing e a importância de medidas de segurança robustas.