🌟 Atualização imperdível para quem gosta de estar bem informado!
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Os hackers estão abusando do mecanismo legítimo de redirecionamento OAuth para contornar as proteções contra phishing em e-mails e navegadores e levar os usuários a páginas maliciosas.
Os ataques têm como alvo organizações governamentais e do setor público com links de phishing que levam os usuários a se autenticarem em um aplicativo malicioso, dizem os pesquisadores do Microsoft Defender.
com solicitações de assinatura eletrônica, avisos da Segurança Social, convites para reuniões, redefinições de senha ou vários tópicos financeiros e políticos que contenham URLs de redirecionamento OAuth. Às vezes, os URLs são incorporados em arquivos PDF para evitar a detecção.
Isca de aviso de conta do Microsoft 365Fonte: Microsoft
Forçando redirecionamentos arriscados
Os aplicativos OAuth são registrados com um provedor de identidade, como o Microsoft Entra ID, e aproveitam o protocolo OAuth 2.0 para obter acesso delegado ou no nível do aplicativo aos dados e recursos do usuário.
Nas campanhas observadas pela Microsoft, os invasores criam aplicativos OAuth maliciosos em um locatário que controlam e os configuram com um URI de redirecionamento apontando para sua infraestrutura.
Os pesquisadores dizem que mesmo que os URLs do Entra ID pareçam solicitações de autorização legítimas, o endpoint é invocado com parâmetros para autenticação silenciosa sem um login interativo e um escopo inválido que aciona erros de autenticação. Isso força o provedor de identidade a redirecionar os usuários para o URI de redirecionamento configurado pelo invasor.
Em alguns casos, as vítimas são redirecionadas para páginas de phishing alimentadas por estruturas de invasores intermediários, como o EvilProxy, que podem interceptar cookies de sessão válidos para contornar as proteções de autenticação multifator (MFA).
A Microsoft descobriu que o parâmetro “estado” foi utilizado indevidamente para preencher automaticamente o endereço de e-mail da vítima na caixa de credenciais da página de phishing, aumentando a sensação percebida de legitimidade.
Visão geral do ataque de redirecionamento OAuthFonte: Microsoft
Em outros casos, as vítimas são redirecionadas para um caminho ‘/download’ que entrega automaticamente um arquivo ZIP com arquivos de atalho maliciosos (.LNK) e ferramentas de contrabando de HTML.
Abrir o .LNK inicia o PowerShell, que realiza o reconhecimento no host comprometido e extrai os componentes necessários para a próxima etapa, carregamento lateral de DLL.
Uma DLL maliciosa (crashhandler.dll) descriptografa e carrega a carga final (crashlog.dat) na memória, enquanto um executável legítimo (stream_monitor.exe) carrega uma isca para distrair a vítima.
A cadeia de ataques de malwareFonte: Microsoft
A Microsoft sugere que as organizações reforcem as permissões para aplicativos OAuth, apliquem fortes proteções de identidade e políticas de acesso condicional e usem a detecção de domínios cruzados em email, identidade e endpoints.
A empresa destaca que os ataques observados são ameaças baseadas em identidade que abusam de um comportamento pretendido na estrutura OAuth que se comporta conforme especificado pelo padrão que define como os erros de autorização são gerenciados por meio de redirecionamentos.
Os pesquisadores alertam que os agentes de ameaças agora estão acionando erros de OAuth por meio de parâmetros inválidos, como escopo ou prompt=none, para forçar redirecionamentos silenciosos de erros como parte de ataques do mundo real.
Red Report 2026: Por que a criptografia de ransomware caiu 38%
O malware está ficando mais inteligente. O Red Report 2026 revela como novas ameaças usam matemática para detectar sandboxes e se esconder à vista de todos. Baixe nossa análise de 1,1 milhão de amostras maliciosas para descobrir as 10 principais técnicas e ver se sua pilha de segurança está cega.
Baixe o relatório
Os ataques têm como alvo organizações governamentais e do setor público com links de phishing que levam os usuários a se autenticarem em um aplicativo malicioso, dizem os pesquisadores do Microsoft Defender.
com solicitações de assinatura eletrônica, avisos da Segurança Social, convites para reuniões, redefinições de senha ou vários tópicos financeiros e políticos que contenham URLs de redirecionamento OAuth. Às vezes, os URLs são incorporados em arquivos PDF para evitar a detecção.
Isca de aviso de conta do Microsoft 365Fonte: Microsoft
Forçando redirecionamentos arriscados
Os aplicativos OAuth são registrados com um provedor de identidade, como o Microsoft Entra ID, e aproveitam o protocolo OAuth 2.0 para obter acesso delegado ou no nível do aplicativo aos dados e recursos do usuário.
Nas campanhas observadas pela Microsoft, os invasores criam aplicativos OAuth maliciosos em um locatário que controlam e os configuram com um URI de redirecionamento apontando para sua infraestrutura.
Os pesquisadores dizem que mesmo que os URLs do Entra ID pareçam solicitações de autorização legítimas, o endpoint é invocado com parâmetros para autenticação silenciosa sem um login interativo e um escopo inválido que aciona erros de autenticação. Isso força o provedor de identidade a redirecionar os usuários para o URI de redirecionamento configurado pelo invasor.
Em alguns casos, as vítimas são redirecionadas para páginas de phishing alimentadas por estruturas de invasores intermediários, como o EvilProxy, que podem interceptar cookies de sessão válidos para contornar as proteções de autenticação multifator (MFA).
A Microsoft descobriu que o parâmetro “estado” foi utilizado indevidamente para preencher automaticamente o endereço de e-mail da vítima na caixa de credenciais da página de phishing, aumentando a sensação percebida de legitimidade.
Visão geral do ataque de redirecionamento OAuthFonte: Microsoft
Em outros casos, as vítimas são redirecionadas para um caminho ‘/download’ que entrega automaticamente um arquivo ZIP com arquivos de atalho maliciosos (.LNK) e ferramentas de contrabando de HTML.
Abrir o .LNK inicia o PowerShell, que realiza o reconhecimento no host comprometido e extrai os componentes necessários para a próxima etapa, carregamento lateral de DLL.
Uma DLL maliciosa (crashhandler.dll) descriptografa e carrega a carga final (crashlog.dat) na memória, enquanto um executável legítimo (stream_monitor.exe) carrega uma isca para distrair a vítima.
A cadeia de ataques de malwareFonte: Microsoft
A Microsoft sugere que as organizações reforcem as permissões para aplicativos OAuth, apliquem fortes proteções de identidade e políticas de acesso condicional e usem a detecção de domínios cruzados em email, identidade e endpoints.
A empresa destaca que os ataques observados são ameaças baseadas em identidade que abusam de um comportamento pretendido na estrutura OAuth que se comporta conforme especificado pelo padrão que define como os erros de autorização são gerenciados por meio de redirecionamentos.
Os pesquisadores alertam que os agentes de ameaças agora estão acionando erros de OAuth por meio de parâmetros inválidos, como escopo ou prompt=none, para forçar redirecionamentos silenciosos de erros como parte de ataques do mundo real.
Red Report 2026: Por que a criptografia de ransomware caiu 38%
O malware está ficando mais inteligente. O Red Report 2026 revela como novas ameaças usam matemática para detectar sandboxes e se esconder à vista de todos. Baixe nossa análise de 1,1 milhão de amostras maliciosas para descobrir as 10 principais técnicas e ver se sua pilha de segurança está cega.
Baixe o relatório
#samirnews #samir #news #boletimtec #microsoft: #hackers #abusam #de #fluxos #de #erros #oauth #para #espalhar #malware
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário