Microsoft advirtió el lunes sobre campañas de phishing que utilizan correos electrónicos de phishing y mecanismos de redireccionamiento de URL OAuth para eludir las defensas de phishing tradicionales implementadas en el correo electrónico y los navegadores.
La compañía dice que la campaña está dirigida a organizaciones gubernamentales y del sector público, y el objetivo final es redirigir a las víctimas a la infraestructura controlada por los atacantes sin robar sus tokens. Este ataque de phishing se describe como una amenaza basada en la identidad que explota el comportamiento de diseño estándar de OAuth, en lugar de explotar las vulnerabilidades del software o robar credenciales.
Según el equipo de investigación de seguridad de Microsoft Defender, «OAuth incluye una funcionalidad legítima que permite a los proveedores de identidad redirigir a los usuarios a páginas de destino específicas bajo ciertas condiciones, generalmente escenarios de error u otros flujos definidos».
«Un atacante puede explotar esta funcionalidad nativa construyendo una URL utilizando proveedores de identidad populares como Entra ID o Google Workspace, que utiliza parámetros manipulados y una aplicación maliciosa asociada para redirigir al usuario a una página de destino controlada por el atacante. Esta técnica permite la creación de URL que parecen benignas pero que en última instancia conducen a destinos maliciosos».
El punto de partida de un ataque es una aplicación maliciosa creada por un actor de amenazas dentro de un inquilino administrado. La aplicación está configurada con una URL de redireccionamiento que apunta a un dominio malicioso que aloja malware. Luego, el atacante distribuye un enlace de phishing OAuth que indica al destinatario que se autentique en la aplicación maliciosa utilizando un alcance intencionalmente no válido.
Esta redirección hace que los usuarios descarguen accidentalmente e infecten sus dispositivos con malware. Según Microsoft, la carga útil maliciosa se distribuye en forma de archivo ZIP y, cuando se descomprime, provoca la ejecución de PowerShell, descarga de archivos DLL, actividades previas al rescate e interacciones con el teclado.
El archivo ZIP contiene un acceso directo de Windows (LNK) que ejecuta un comando de PowerShell tan pronto como lo abre. Las cargas útiles de PowerShell se utilizan para ejecutar comandos de descubrimiento y realizar reconocimiento en hosts. El archivo LNK extrae el instalador MSI del archivo ZIP y luego suelta un documento señuelo para engañar a la víctima. Mientras tanto, se descarga una DLL maliciosa («crashhandler.dll») utilizando el binario legítimo «steam_monitor.exe».
La DLL procede a descifrar otro archivo llamado «crashlog.dat» y ejecuta la carga útil final en la memoria, lo que le permite establecer una conexión saliente a un servidor externo de comando y control (C2).
Microsoft dice que estos correos electrónicos atraen solicitudes de firmas electrónicas, grabaciones de Teams y temas políticos, financieros y de seguridad social en un intento de engañar a los usuarios para que hagan clic en los enlaces. Se dice que los correos electrónicos se enviaron a través de herramientas de envío masivo y soluciones personalizadas desarrolladas en Python y Node.js. El enlace puede incluirse directamente en el cuerpo del correo electrónico o colocarse dentro del documento PDF.
«Para aumentar la credibilidad, el atacante utilizó varias técnicas de codificación para pasar la dirección de correo electrónico del objetivo a través del parámetro de estado para que se completara automáticamente en la página de phishing», dijo Microsoft. «El parámetro de estado se genera aleatoriamente y está destinado a correlacionar los valores de solicitud y respuesta, pero en este caso se reutilizó para transmitir una dirección de correo electrónico codificada».
Se ha descubierto que algunas campañas aprovechan esta técnica para distribuir malware, mientras que otras envían a los usuarios a páginas alojadas en marcos de phishing como EvilProxy, que actúan como kits de intermediario (AitM) que interceptan credenciales y cookies de sesión.
Desde entonces, Microsoft ha eliminado varias aplicaciones OAuth maliciosas identificadas como parte de la investigación. Recomendamos que las organizaciones limiten el consentimiento del usuario, revisen periódicamente los permisos de las aplicaciones y eliminen las aplicaciones con permisos excesivos o no utilizados.
Source link
