- Хакеры используют уязвимости в механизме перенаправления OAuth для обхода защиты от фишинга и распространения вредоносного ПО.
- Атаки нацелены на государственные и общественные организации, злоумышленники маскируются под легитимные уведомления и используют вредоносные приложения OAuth.
- Microsoft рекомендует ужесточить контроль разрешений для OAuth-приложений, усилить защиту учётных данных и применять комплексные меры безопасности.
Компания Microsoft обнародовала информацию о новой волне кибератак, в которой злоумышленники злоупотребляют механизмом перенаправления OAuth 2.0 для обхода современных средств защиты от фишинга и доставки вредоносного программного обеспечения. Исследователи из Microsoft Defender отметили, что атаки преимущественно нацелены на государственные и общественные организации и распространяются посредством доверительных уведомлений, среди которых запросы на электронную подпись, оповещения по социальному страхованию, приглашения на встречи и сообщения финансового или политического характера. Вредоносные URL-адреса OAuth зачастую скрываются даже внутри PDF-файлов, что усложняет их своевременное обнаружение.
Суть уязвимости заключается в том, что вредоносные приложения OAuth, создаваемые злоумышленниками на контролируемых ими клиентах, используют зарегистрированные URI перенаправления, которые ведут на небезопасные ресурсы. Несмотря на то, что такие URL выглядят как легитимные запросы авторизации через Microsoft Entra ID или Google OAuth, параметры запросов намеренно некорректны — например, недопустимая область действия (scope) или запрет на интерактивный вход (prompt=none). В результате возникает ошибка аутентификации, после чего пользователь автоматически перенаправляется на вредоносный сайт, контролируемый хакерами.
В ряде случаев конечные точки фишинговых сайтов используют промежуточные фреймворки, такие как EvilProxy, которые позволяют захватывать действительные сессионные cookie и обходить многофакторную аутентификацию. Параметр «state» в URL злоумышленники применяют для автоматического подстановления электронной почты жертвы на фишинговую страницу, повышая реалистичность мошенничества. Другой распространённый вектор — автоматическая загрузка ZIP-архивов с вредоносными ярлыками (.LNK) и поддельными HTML-файлами. При запуске ярлыка происходит выполнение PowerShell-скрипта, который изучает скомпрометированный компьютер и загружает дополнительные компоненты, включая DLL-файлы с окончательной полезной нагрузкой.
Вредоносный DLL-файл расшифровывает и загружает в память основной шпионский модуль, в то время как легитимный исполняемый файл занимается отвлекающей загрузкой фальшивых файлов, чтобы скрыть вредоносную активность от пользователя. Microsoft настоятельно рекомендует организациям ограничивать разрешения OAuth-приложений, укреплять защиту учётных данных и применять политики условного доступа, а также использовать междоменный анализ для выявления угроз в электронной почте и на конечных точках.
Специалисты предупреждают, что злоумышленники сознательно инициируют ошибки OAuth с помощью некорректных параметров запроса, чтобы запускать скрытые перенаправления на вредоносные ресурсы в рамках реальных атак. Ранее, в 2025 году, уже фиксировались случаи, когда хакеры использовали легальные механизмы OAuth 2.0 для захвата аккаунтов Microsoft 365, маскируясь под официальных лиц и воздействуя на пользователей через мессенджеры WhatsApp и Signal с целью получения кодов авторизации или кражи учётных данных через фишинговые ссылки.
Данная волна атак подчёркивает необходимость постоянного совершенствования комплексных подходов к информационной безопасности, включая контроль над интеграциями OAuth и обучение сотрудников в организациях распознанию угроз современного киберпространства.
