Microsoft advierte sobre el abuso de redirecciones OAuth para la entrega de malware a objetivos gubernamentales
Microsoft ha emitido una advertencia sobre campañas de phishing que emplean correos electrónicos de phishing y mecanismos de redirección de URL OAuth para eludir las defensas de phishing convencionales implementadas en el correo electrónico y los navegadores. El objetivo de esta actividad son las organizaciones gubernamentales y del sector público, con la finalidad de redirigir a las víctimas a una infraestructura controlada por el atacante sin robar sus tokens.
Técnica de Ataque
Los ataques de phishing se describen como una amenaza basada en la identidad que aprovecha el comportamiento estándar de OAuth, en lugar de explotar vulnerabilidades de software o robar credenciales. Los atacantes abusan de una característica legítima de OAuth que permite a los proveedores de identidad redirigir a los usuarios a una página de destino específica bajo ciertas condiciones.
- Los atacantes crean URL con proveedores de identidad populares, como Entra ID o Google Workspace, manipulando parámetros o aplicaciones maliciosas asociadas para redirigir a los usuarios a páginas de destino controladas por ellos.
- El punto de partida es una aplicación maliciosa creada por el actor de amenazas en un inquilino bajo su control, configurada con una URL de redirección que apunta a un dominio fraudulento que alberga malware.
- Los atacantes distribuyen un enlace de phishing OAuth que indica a los destinatarios que se autentiquen en la aplicación maliciosa utilizando un alcance inválido intencionalmente.
Distribución de Malware
La redirección tiene como resultado que los usuarios descarguen e infecten inadvertidamente sus dispositivos con malware. Los payloads maliciosos se distribuyen en forma de archivos ZIP que, al descomprimirse, ejecutan PowerShell, permiten la carga lateral de DLL y realizan actividades pre-ransomware o de teclado manual. El archivo ZIP contiene un acceso directo de Windows (LNK) que ejecuta un comando de PowerShell al abrirse. El payload de PowerShell se utiliza para realizar reconocimiento del host mediante la ejecución de comandos de descubrimiento.
El archivo LNK extrae del archivo ZIP un instalador MSI, que luego coloca un documento señuelo para engañar a la víctima, mientras que una DLL maliciosa ("crashhandler.dll") se carga lateralmente utilizando el binario legítimo "steam_monitor.exe". La DLL procede a descifrar otro archivo llamado "crashlog.dat" y ejecuta el payload final en la memoria, lo que le permite establecer una conexión saliente a un servidor de comando y control (C2) externo.
Temas de los Correos Electrónicos y Medidas de Protección
Los correos electrónicos utilizan solicitudes de firma electrónica, grabaciones de Teams, seguridad social, temas financieros y políticos como señuelos para engañar a los usuarios para que hagan clic en el enlace. Se dice que los correos electrónicos se han enviado a través de herramientas de envío masivo y soluciones personalizadas desarrolladas en Python y Node.js. Los enlaces se incluyen directamente en el cuerpo del correo electrónico o se colocan dentro de un documento PDF. Para aumentar la credibilidad, los actores pasaron la dirección de correo electrónico de destino a través del parámetro state utilizando varias técnicas de codificación, lo que permite que se complete automáticamente en la página de phishing. Microsoft ha eliminado varias aplicaciones OAuth maliciosas identificadas como parte de la investigación.
Se aconseja a las organizaciones que limiten el consentimiento del usuario, revisen periódicamente los permisos de las aplicaciones y eliminen las aplicaciones no utilizadas o con privilegios excesivos.
Contexto
Esta campaña pone de manifiesto la creciente sofisticación de los ataques de phishing, que buscan explotar las funcionalidades legítimas de los servicios en la nube para comprometer a las organizaciones. La concienciación de los usuarios y la implementación de políticas de seguridad robustas son cruciales para mitigar este tipo de amenazas.