Корпорация Microsoft предупредила организации о продолжающихся мошеннических схемах, связанных со злоупотреблением протоколом OAuth, которые используют фишинговые электронные письма и перенаправления URL для заражения машин жертв вредоносным ПО и захвата контроля над их устройствами.
По данным отчета, опубликованного в понедельник исследователями безопасности из Редмонда, эта фишинговая кампания нацелена на государственные и общественные организации. И хотя Microsoft Entra отключила вредоносные OAuth-приложения, команда Microsoft по информационной безопасности предупредила, что «связанная с этим активность OAuth сохраняется и требует постоянного мониторинга».
Microsoft отказалась отвечать на запросы The Register, в том числе на вопросы о масштабах этих кампаний.
OAuth, что расшифровывается как Open Authorization, является широко используемым стандартом для онлайн-авторизации с использованием учетных данных третьих сторон. Если веб-сайт предлагает возможность войти с помощью учетной записи Google, Facebook* или Apple, он, вероятно, использует OAuth и полагается на использование токенов доступа, предусмотренное этим стандартом.
OAuth имеет легитимную функцию, которая позволяет поставщикам удостоверений в некоторых сценариях перенаправлять пользователей на целевую страницу, обычно при возникновении ошибки. Все кампании, замеченные Microsoft, используют эту функцию.
Злоумышленники могут злоупотреблять этой функцией, создавая URL-адреса с помощью Microsoft Entra ID, Google Workspace или другого поставщика удостоверений, которые перенаправляют пользователей на контролируемые злоумышленниками целевые страницы, где они неосознанно загружают вредоносное ПО. В одной из кампаний, задокументированных Microsoft, злоумышленники пытались доставить вредоносную полезную нагрузку, содержащую исполняемый файл, который предоставлял атакующим полный доступ к конечной точке жертвы.
Все эти кампании начинаются с фишингового электронного письма, текст которого содержит запросы на электронную подпись, предложение получить доступ к записям встреч Teams, инструкции по сбросу пароля Microsoft 365 и политические темы, чтобы обманом заставить пользователей нажать на вредоносную ссылку.
«Индикаторы свидетельствуют о том, что эти субъекты использовали как бесплатные готовые инструменты для массовой рассылки, так и собственные решения, разработанные на Python и Node.js», — написали в Редмонде. «В некоторых случаях для распространения сообщений использовались облачные службы электронной почты и размещенные в облаке виртуальные машины».
Злоумышленники обычно встраивали вредоносные URL-адреса в тело писем, которые они отправляли потенциальным жертвам, но в некоторых случаях помещали URL и приманку внутрь вложения PDF.
Атака перенаправляет жертв со страницы аутентификации OAuth на веб-сайты типа phishing-as-a-service, такие как EvilProxy, что позволяет цифровым ворам перехватывать учетные данные и сессионные cookie-файлы пользователей.
Злоумышленники злоупотребляют поведением перенаправления OAuth, отправляя фишинговые ссылки, которые вызывают ошибку при использовании комбинации специально сформированных параметров. Вот как выглядит один из URL-адресов, созданных для Entra ID:
https://login.microsoftonline.com/common/oauth2/v2.0/authorize ?client_id=<app_id> &response_type=code &scope=<invalid_scope> &prompt=none &state=<value>
«На первый взгляд это выглядит как стандартный запрос на авторизацию OAuth, но несколько параметров используются намеренно неверно», — написали аналитики угроз Microsoft.
Важно отметить, что в этих кампаниях злоумышленники не крадут токены доступа пользователей, поскольку пользователь не предоставил приложению разрешение на доступ к ресурсу. Однако кража токенов не является целью этой схемы. Она призвана вызвать код ошибки во время входа в систему, который затем перенаправит жертв на целевую страницу, содержащую вредоносные полезные нагрузки.
«Размещая полезную нагрузку на URI перенаправления приложения, находящемся под их контролем, злоумышленники могут быстро ротировать или изменять перенаправляемые домены, когда их блокируют фильтры безопасности», — отметили в Microsoft.
В одной из таких кампаний перенаправление отправляло жертв по пути /download/XXXX, который автоматически загружал ZIP-архив на их устройство. По нашим данным, полезные нагрузки включали ZIP-архивы с файлами ярлыков LNK и загрузчиками HTML smuggling.
Когда жертвы открывали файл ярлыка LNK, это приводило к выполнению команды PowerShell, которая сначала запускала команды обнаружения на машине для целей разведки. Затем она запускала легитимный файл — steam_monitor.exe — который использовался для боковой загрузки вредоносного DLL-файла crashhandler.dll.
«Этот DLL-файл расшифровывал crashlog.dat и выполнял финальную полезную нагрузку в памяти, в конечном итоге устанавливая исходящее соединение с внешним C2-конечным пунктом», — сообщили в Редмонде. ®
Facebook*, Instagram* и WhatsApp* принадлежат компании Meta* Platforms Inc., деятельность которой признана экстремистской и запрещена на территории Российской Федерации.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Jessica Lyons
