Microsoft выявил новую схему фишинговых атак, которая использует легитимные функции OAuth для обхода защиты браузеров и почтовых клиентов. Злоумышленники нацеливаются на государственные организации, заражая их устройства вредоносным ПО без кражи токенов доступа.
Атака эксплуатирует не уязвимости в коде, а стандартное поведение протокола OAuth. Хакеры создают поддельные приложения с редиректом на вредоносные домены, а затем рассылают ссылки, которые выглядят как запросы от Microsoft или Google.
Как работает атака
Злоумышленники регистрируют вредоносное OAuth-приложение в собственном тенанте и настраивают редирект на домен с малварью. Жертвам отправляют ссылку с намеренно некорректными параметрами scope — это заставляет систему перенаправить пользователя на поддельную страницу.
«OAuth включает легитимную функцию перенаправления пользователей на определённые страницы в случае ошибок или других сценариев. Атакующие злоупотребляют этой функциональностью, создавая URL с популярными провайдерами идентификации», — объясняют исследователи Microsoft Defender Security Research Team.
После перехода по ссылке жертва скачивает ZIP-архив, содержащий Windows-ярлык (LNK). При открытии ярлык запускает PowerShell для разведки системы, извлекает MSI-установщик с приманкой-документом, а параллельно загружает вредоносную DLL через легитимный файл steam_monitor.exe.
Масштаб и последствия
Атакующие используют приманки в виде запросов на электронную подпись, записей Teams, социальных и финансовых тем. Письма рассылают через массовые сервисы и самописные инструменты на Python и Node.js.
Для повышения доверия хакеры передают email жертвы через параметр state с различными методами кодирования — адрес автоматически подставляется на фишинговой странице.
Часть кампаний ведёт не к заражению, а к страницам на базе фреймворков вроде EvilProxy, которые перехватывают учётные эти и сессионные куки через атаки типа adversary-in-the-middle.
Что делать: ограничить пользовательские разрешения для приложений, регулярно аудитировать права доступа и удалять неиспользуемые OAuth-приложения. Microsoft уже заблокировал выявленные вредоносные приложения.
Новая техника особенно опасна тем, что использует доверие к известным брендам — ссылки действительно ведут на домены Microsoft или Google, но с вредоносными параметрами.
