Microsoft hôm thứ Hai đã cảnh báo về các chiến dịch lừa đảo sử dụng email giả mạo và cơ chế chuyển hướng URL của OAuth để vượt qua các biện pháp phòng thủ lừa đảo truyền thống được triển khai trong email và trình duyệt.
Hoạt động này, công ty cho biết, nhắm mục tiêu vào các tổ chức chính phủ và khu vực công với mục tiêu cuối cùng là chuyển hướng nạn nhân đến cơ sở hạ tầng do kẻ tấn công kiểm soát mà không đánh cắp token của họ. Microsoft mô tả các cuộc tấn công lừa đảo này là một mối đe dọa dựa trên danh tính, tận dụng hành vi tiêu chuẩn, theo thiết kế của OAuth thay vì khai thác các lỗ hổng phần mềm hoặc đánh cắp thông tin xác thực.
"OAuth bao gồm một tính năng hợp pháp cho phép các nhà cung cấp danh tính chuyển hướng người dùng đến một trang đích cụ thể trong một số điều kiện nhất định, thường là trong các kịch bản lỗi hoặc các luồng được định nghĩa khác," Nhóm Nghiên cứu An ninh Microsoft Defender cho biết.
"Kẻ tấn công có thể lạm dụng chức năng gốc này bằng cách tạo các URL với các nhà cung cấp danh tính phổ biến, chẳng hạn như Entra ID hoặc Google Workspace, sử dụng các tham số bị thao túng hoặc các ứng dụng độc hại liên quan để chuyển hướng người dùng đến các trang đích do kẻ tấn công kiểm soát. Kỹ thuật này cho phép tạo ra các URL có vẻ lành tính nhưng cuối cùng lại dẫn đến các đích đến độc hại."
Điểm khởi đầu của cuộc tấn công là một ứng dụng độc hại được tạo bởi tác nhân đe dọa trong một tenant thuộc quyền kiểm soát của chúng. Ứng dụng được cấu hình với một URL chuyển hướng trỏ đến một tên miền giả mạo chứa mã độc. Kẻ tấn công sau đó phân phối một liên kết lừa đảo OAuth hướng dẫn người nhận xác thực với ứng dụng độc hại bằng cách sử dụng một scope không hợp lệ một cách cố ý.
Kết quả của việc chuyển hướng này là người dùng vô tình tải xuống và lây nhiễm mã độc vào thiết bị của họ. Các payload độc hại được phân phối dưới dạng file nén ZIP, khi giải nén, dẫn đến việc thực thi PowerShell, DLL side-loading và hoạt động tiền chuộc hoặc hands-on-keyboard, Microsoft cho biết.
File ZIP chứa một shortcut Windows (LNK) thực thi lệnh PowerShell ngay sau khi nó được mở. Payload PowerShell được sử dụng để thực hiện trinh sát host bằng cách chạy các lệnh khám phá. File LNK trích xuất từ file nén ZIP một trình cài đặt MSI, sau đó thả một tài liệu mồi nhử để đánh lừa nạn nhân, trong khi một DLL độc hại ("crashhandler.dll") được sideload bằng cách sử dụng binary hợp pháp "steam_monitor.exe".
DLL tiếp tục giải mã một file khác có tên "crashlog.dat" và thực thi payload cuối cùng trong bộ nhớ, cho phép nó thiết lập kết nối đi ra đến một máy chủ command-and-control (C2) bên ngoài.
Microsoft cho biết các email sử dụng các yêu cầu chữ ký điện tử, bản ghi Teams, các chủ đề liên quan đến an sinh xã hội, tài chính và chính trị làm mồi nhử để lừa người dùng nhấp vào liên kết. Các email được cho là đã được gửi qua các công cụ gửi hàng loạt và các giải pháp tùy chỉnh được phát triển bằng Python và Node.js. Các liên kết được đưa trực tiếp vào nội dung email hoặc đặt trong tài liệu PDF.
"Để tăng độ tin cậy, các tác nhân đã truyền địa chỉ email mục tiêu qua tham số state bằng nhiều kỹ thuật mã hóa khác nhau, cho phép nó tự động điền vào trang lừa đảo," Microsoft cho biết. "Tham số state được thiết kế để tạo ngẫu nhiên và được sử dụng để tương quan các giá trị yêu cầu và phản hồi, nhưng trong những trường hợp này, nó đã được tái sử dụng để mang các địa chỉ email đã mã hóa."
Trong khi một số chiến dịch đã được phát hiện tận dụng kỹ thuật này để phát tán mã độc, những chiến dịch khác lại gửi người dùng đến các trang được lưu trữ trên các framework lừa đảo như EvilProxy, hoạt động như một bộ công cụ adversary-in-the-middle (AitM) để chặn thông tin xác thực và session cookies.
Microsoft đã gỡ bỏ một số ứng dụng OAuth độc hại được xác định trong quá trình điều tra. Các tổ chức được khuyến nghị hạn chế sự đồng ý của người dùng, định kỳ xem xét quyền ứng dụng và gỡ bỏ các ứng dụng không sử dụng hoặc có đặc quyền quá mức.
