🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A Microsoft alertou na segunda-feira sobre campanhas de phishing que empregam e-mails de phishing e mecanismos de redirecionamento de URL OAuth para contornar as defesas convencionais de phishing implementadas em e-mail e navegadores.
A atividade, disse a empresa, tem como alvo organizações governamentais e do setor público com o objetivo final de redirecionar as vítimas para infraestrutura controlada pelo invasor sem roubar seus tokens. Ele descreveu os ataques de phishing como uma ameaça baseada em identidade que tira proveito do comportamento padrão do OAuth, em vez de explorar vulnerabilidades de software ou roubar credenciais.
“OAuth inclui um recurso legítimo que permite que os provedores de identidade redirecionem os usuários para uma página de destino específica sob certas condições, normalmente em cenários de erro ou outros fluxos definidos”, disse a equipe de pesquisa de segurança do Microsoft Defender.
“Os invasores podem abusar dessa funcionalidade nativa criando URLs com provedores de identidade populares, como Entra ID ou Google Workspace, que usam parâmetros manipulados ou aplicativos maliciosos associados para redirecionar os usuários para páginas de destino controladas pelo invasor.
O ponto de partida do ataque é um aplicativo malicioso criado pelo agente da ameaça em um locatário sob seu controle. O aplicativo é configurado com um URL de redirecionamento apontando para um domínio não autorizado que hospeda malware. Os invasores então distribuem um link de phishing OAuth que instrui os destinatários a se autenticarem no aplicativo malicioso usando um escopo intencionalmente inválido.
O resultado desse redirecionamento é que os usuários inadvertidamente baixam e infectam seus próprios dispositivos com malware. As cargas maliciosas são distribuídas na forma de arquivos ZIP, que, quando descompactados, resultam na execução do PowerShell, carregamento lateral de DLL e atividades pré-resgate ou práticas no teclado, disse a Microsoft.
O arquivo ZIP contém um atalho do Windows (LNK) que executa um comando do PowerShell assim que é aberto. A carga útil do PowerShell é usada para realizar o reconhecimento do host executando comandos de descoberta. O arquivo LNK extrai do arquivo ZIP um instalador MSI, que então descarta um documento falso para enganar a vítima, enquanto uma DLL maliciosa ("crashhandler.dll") é carregada usando o binário legítimo "steam_monitor.exe".
A DLL prossegue para descriptografar outro arquivo chamado "crashlog.dat" e executa a carga final na memória, permitindo estabelecer uma conexão de saída com um servidor externo de comando e controle (C2).
A Microsoft disse que os e-mails usam solicitações de assinatura eletrônica, gravações do Teams, temas de previdência social, financeiros e políticos como iscas para induzir os usuários a clicar no link. Os e-mails teriam sido enviados por meio de ferramentas de envio em massa e soluções personalizadas desenvolvidas em Python e Node.js. Os links são incluídos diretamente no corpo do e-mail ou colocados em um documento PDF.
“Para aumentar a credibilidade, os atores passaram o endereço de e-mail alvo através do parâmetro state usando várias técnicas de codificação, permitindo que ele fosse preenchido automaticamente na página de phishing”, disse a Microsoft. “O parâmetro state deve ser gerado aleatoriamente e usado para correlacionar valores de solicitação e resposta, mas nesses casos ele foi reaproveitado para transportar endereços de e-mail codificados.”
Embora se tenha descoberto que algumas das campanhas aproveitam a técnica para entregar malware, outras enviam os usuários para páginas hospedadas em estruturas de phishing, como EvilProxy, que atuam como um kit adversário no meio (AitM) para interceptar credenciais e cookies de sessão.
Desde então, a Microsoft removeu vários aplicativos OAuth maliciosos que foram identificados como parte da investigação. As organizações são aconselhadas a limitar o consentimento do usuário, revisar periodicamente as permissões dos aplicativos e remover aplicativos não utilizados ou com privilégios excessivos.
A atividade, disse a empresa, tem como alvo organizações governamentais e do setor público com o objetivo final de redirecionar as vítimas para infraestrutura controlada pelo invasor sem roubar seus tokens. Ele descreveu os ataques de phishing como uma ameaça baseada em identidade que tira proveito do comportamento padrão do OAuth, em vez de explorar vulnerabilidades de software ou roubar credenciais.
“OAuth inclui um recurso legítimo que permite que os provedores de identidade redirecionem os usuários para uma página de destino específica sob certas condições, normalmente em cenários de erro ou outros fluxos definidos”, disse a equipe de pesquisa de segurança do Microsoft Defender.
“Os invasores podem abusar dessa funcionalidade nativa criando URLs com provedores de identidade populares, como Entra ID ou Google Workspace, que usam parâmetros manipulados ou aplicativos maliciosos associados para redirecionar os usuários para páginas de destino controladas pelo invasor.
O ponto de partida do ataque é um aplicativo malicioso criado pelo agente da ameaça em um locatário sob seu controle. O aplicativo é configurado com um URL de redirecionamento apontando para um domínio não autorizado que hospeda malware. Os invasores então distribuem um link de phishing OAuth que instrui os destinatários a se autenticarem no aplicativo malicioso usando um escopo intencionalmente inválido.
O resultado desse redirecionamento é que os usuários inadvertidamente baixam e infectam seus próprios dispositivos com malware. As cargas maliciosas são distribuídas na forma de arquivos ZIP, que, quando descompactados, resultam na execução do PowerShell, carregamento lateral de DLL e atividades pré-resgate ou práticas no teclado, disse a Microsoft.
O arquivo ZIP contém um atalho do Windows (LNK) que executa um comando do PowerShell assim que é aberto. A carga útil do PowerShell é usada para realizar o reconhecimento do host executando comandos de descoberta. O arquivo LNK extrai do arquivo ZIP um instalador MSI, que então descarta um documento falso para enganar a vítima, enquanto uma DLL maliciosa ("crashhandler.dll") é carregada usando o binário legítimo "steam_monitor.exe".
A DLL prossegue para descriptografar outro arquivo chamado "crashlog.dat" e executa a carga final na memória, permitindo estabelecer uma conexão de saída com um servidor externo de comando e controle (C2).
A Microsoft disse que os e-mails usam solicitações de assinatura eletrônica, gravações do Teams, temas de previdência social, financeiros e políticos como iscas para induzir os usuários a clicar no link. Os e-mails teriam sido enviados por meio de ferramentas de envio em massa e soluções personalizadas desenvolvidas em Python e Node.js. Os links são incluídos diretamente no corpo do e-mail ou colocados em um documento PDF.
“Para aumentar a credibilidade, os atores passaram o endereço de e-mail alvo através do parâmetro state usando várias técnicas de codificação, permitindo que ele fosse preenchido automaticamente na página de phishing”, disse a Microsoft. “O parâmetro state deve ser gerado aleatoriamente e usado para correlacionar valores de solicitação e resposta, mas nesses casos ele foi reaproveitado para transportar endereços de e-mail codificados.”
Embora se tenha descoberto que algumas das campanhas aproveitam a técnica para entregar malware, outras enviam os usuários para páginas hospedadas em estruturas de phishing, como EvilProxy, que atuam como um kit adversário no meio (AitM) para interceptar credenciais e cookies de sessão.
Desde então, a Microsoft removeu vários aplicativos OAuth maliciosos que foram identificados como parte da investigação. As organizações são aconselhadas a limitar o consentimento do usuário, revisar periodicamente as permissões dos aplicativos e remover aplicativos não utilizados ou com privilégios excessivos.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #microsoft #alerta #que #abuso #de #redirecionamento #de #oauth #entrega #malware #a #alvos #governamentais
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário