ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

В понедельник компания Microsoft предупредила о фишинговых кампаниях, в которых используются фишинговые электронные письма и механизмы перенаправления URL-адресов OAuth для обхода традиционных средств защиты от фишинга, реализованных в электронной почте и браузерах.

По словам компании, эта деятельность нацелена на правительственные и государственные организации с конечной целью перенаправления жертв на инфраструктуру, контролируемую злоумышленниками, без кражи их токенов. Компания описала фишинговые атаки как угрозу, основанную на идентификации, которая использует стандартное поведение OAuth, а не эксплуатирует уязвимости программного обеспечения или кражу учетных данных.

«OAuth включает в себя легитимную функцию, которая позволяет поставщикам идентификационных данных перенаправлять пользователей на определенную целевую страницу при определенных условиях, обычно в случае ошибок или других определенных сценариев», — заявила команда Microsoft Defender Security Research Team.

«Злоумышленники могут злоупотреблять этой встроенной функцией, создавая URL-адреса с популярными поставщиками идентификации, такими как Entra ID или Google Workspace, которые используют манипулируемые параметры или связанные вредоносные приложения для перенаправления пользователей на контролируемые злоумышленниками целевые страницы. Эта техника позволяет создавать URL-адреса, которые выглядят безобидными, но в конечном итоге ведут к вредоносным целям».

Отправной точкой атаки является вредоносное приложение, созданное злоумышленником в контролируемом им тенанте. Приложение настроено с URL-адресом перенаправления, указывающим на мошеннический домен, на котором размещено вредоносное ПО. Затем злоумышленники распространяют фишинговую ссылку OAuth, которая инструктирует получателей пройти аутентификацию в вредоносном приложении, используя намеренно недействительный объем.

В результате этого перенаправления пользователи невольно загружают и заражают свои устройства вредоносным ПО. Вредоносные нагрузки распространяются в виде ZIP-архивов, которые при распаковке приводят к запуску PowerShell, боковой загрузке DLL и деятельности по предварительному выкупу или ручному управлению клавиатурой, сообщает Microsoft.

ZIP-файл содержит ярлык Windows (LNK), который запускает команду PowerShell сразу после открытия. Полезная нагрузка PowerShell используется для разведки хоста путем запуска команд обнаружения. Файл LNK извлекает из ZIP-архива установщик MSI, который затем создает ложный документ, чтобы ввести жертву в заблуждение, в то время как вредоносная DLL («crashhandler.dll») загружается с помощью легитимного бинарного файла «steam_monitor.exe».

DLL приступает к расшифровке другого файла с именем «crashlog.dat» и запускает окончательную полезную нагрузку в памяти, что позволяет ему установить исходящее соединение с внешним сервером управления (C2).

Microsoft сообщила, что в электронных письмах в качестве приманки для обмана пользователей и побуждения их перейти по ссылке используются запросы на электронную подпись, записи Teams, темы социального обеспечения, финансов и политики. Сообщается, что электронные письма были отправлены с помощью инструментов массовой рассылки и настраиваемых решений, разработанных на Python и Node.js. Ссылки либо непосредственно включены в текст электронного письма, либо размещены в документе PDF.

«Чтобы повысить достоверность, злоумышленники передавали адрес электронной почты цели через параметр state, используя различные методы кодирования, что позволяло автоматически заполнять его на фишинговой странице», — сообщила Microsoft. «Параметр state предназначен для случайного генерации и используется для сопоставления значений запроса и ответа, но в этих случаях он был перепрофилирован для передачи закодированных адресов электронной почты».

В то время как некоторые кампании использовали эту технику для доставки вредоносного ПО, другие перенаправляли пользователей на страницы, размещенные на фишинговых платформах, таких как EvilProxy, которые действуют как набор инструментов «противник посередине» (AitM) для перехвата учетных данных и сессионных куки.

Microsoft удалила несколько вредоносных приложений OAuth, которые были выявлены в ходе расследования. Организациям рекомендуется ограничить согласие пользователей, периодически проверять разрешения приложений и удалять неиспользуемые или имеющие чрезмерные привилегии приложения.