Os investigadores de segurança detetaram uma nova tática onde os piratas informáticos estão a abusar do mecanismo legítimo de redirecionamento do protocolo OAuth para escapar aos filtros de proteção dos emails e navegadores web. O objetivo central desta campanha passa por reencaminhar os utilizadores diretamente para páginas perigosas, sendo que as principais vítimas registadas até ao momento são organizações do setor público e governamental.
O perigo dos falsos pedidos de autenticação
A estratégia arranca com a receção de uma mensagem de isco, que pode surgir disfarçada de um pedido de assinatura digital, avisos da Segurança Social, convites para reuniões ou até alertas críticos de redefinição de palavra-passe. O grande truque está no facto de estes emails incluírem endereços de redirecionamento OAuth que parecem perfeitamente normais. Em algumas situações, para escaparem ainda mais facilmente aos radares das ferramentas de segurança, estes endereços vêm embutidos dentro de ficheiros PDF.
Para colocar esta armadilha em prática, os atacantes registam aplicações OAuth maliciosas num fornecedor de identidade, como é o caso do Microsoft Entra, e configuram um URL de redirecionamento que aponta para os seus próprios servidores. Quando a vítima clica na hiperligação, o pedido inicial à plataforma de identidade parece totalmente válido. No entanto, o endereço é ativado de forma silenciosa com parâmetros inválidos que disparam deliberadamente um erro de autenticação. Este erro intencional obriga a plataforma a redirecionar o utilizador para o endereço configurado previamente pelo criminoso informático.
Páginas falsas e código malicioso silencioso
O desfecho deste reencaminhamento abusivo divide-se em dois cenários graves. No primeiro caso, as vítimas vão parar a páginas de roubo de credenciais construídas com ferramentas avançadas como o EvilProxy. Este sistema tem a capacidade de intercetar os cookies de sessão validados, deitando por terra as proteções tradicionais de autenticação de múltiplos fatores. Para dar ainda mais credibilidade ao esquema, os atacantes usam um parâmetro de estado abusivo para que o endereço de email do utilizador já surja preenchido automaticamente na página falsa.
O segundo cenário foca-se na entrega direta de malware no computador da vítima. Ao concluir o redirecionamento, é descarregado automaticamente um ficheiro ZIP que contém falsos atalhos manipulados. Quando a vítima tenta abrir esse atalho, o sistema executa o PowerShell em segundo plano, que começa de imediato a analisar a máquina comprometida para carregar componentes críticos diretamente para a memória. Este processo instala as ameaças finais enquanto um programa totalmente legítimo é executado em primeiro plano para não levantar qualquer tipo de suspeitas.
Para combater esta vaga de ameaças informáticas centradas na identidade, recomenda-se que as organizações restrinjam fortemente as permissões atribuídas a este tipo de aplicações ligadas à rede, implementando políticas de acesso condicional muito mais rigorosas em toda a infraestrutura, segundo a Microsoft.
Nenhum comentário
Seja o primeiro!