microsoft ha advertido que los piratas informáticos están explotando una característica dentro OAuth lanzará una sofisticada campaña de phishing. Según se informa, el objetivo de los piratas informáticos es distribuir malware en lugar de simplemente robar datos de inicio de sesión. Abusan de una función de redireccionamiento legítima para trasladar a las víctimas de páginas de autenticación confiables a sitios maliciosos. La táctica apunta a organizaciones gubernamentales y del sector público y utiliza correos electrónicos seleccionados para desencadenar el ataque.
Microsoft advierte a sus usuarios sobre una nueva campaña de phishing de inicio de sesión de OAuth
En una reciente ola de ataques dirigidos, los grupos de amenazas envían cuidadosamente correos electrónicos que parecen hacer referencia a grabaciones de reuniones de Teams o avisos urgentes de restablecimiento de contraseña de Microsoft 365. Cada mensaje incluye un enlace incrustado con parámetros manipulados. Están diseñados para interactuar con el sistema OAuth. Cuando los destinatarios hacen clic en el enlace, aparece la página de inicio de sesión legítima, pero deliberadamente genera un error. Ese error inicia la función de redireccionamiento, redireccionando a los usuarios sin problemas a un sitio web controlado por piratas informáticos.
Una vez que los usuarios son redirigidos, llegan a una plataforma de phishing como servicio que aloja archivos maliciosos. En uno de los casos, los usuarios fueron enviados a una ruta de descarga que entregaba un archivo ZIP comprimido. Dentro había archivos de acceso directo y componentes de contrabando HTML que ejecutaban un comando oculto de PowerShell cuando se abrían. En última instancia, lanza un ejecutable legítimo emparejado con una DLL maliciosa de carga lateral. El proceso establece una conexión de comando saliente.
Se recomienda a los usuarios que no hagan clic en correos electrónicos o enlaces desconocidos.
En el mismo informe, Microsoft agregó que la página de inicio de sesión de OAuth fue no nos hacemos responsables del robo de credenciales en estos incidentes. El proceso de autenticación funcionó según lo diseñado. Además, las víctimas no revelaron sus contraseñas en la pantalla oficial. En cambio, la capacidad de redireccionamiento se utilizó indebidamente simplemente como un mecanismo de entrega para malware.
El tecnología El gigante ha instado a las organizaciones a fortalecer sus sistemas de filtrado de correo electrónico. También se les recomienda revisar las configuraciones de redireccionamiento de aplicaciones y educar al personal sobre tácticas avanzadas de phishing. Además, la escala de la campaña sigue sin estar clara por ahora. Sin embargo, los funcionarios creen que la vigilancia es fundamental ya que los actores de amenazas están adoptando técnicas avanzadas para engañar a las víctimas para que instalen archivos de malware desconocidos.
Fuente: Android Headlines