A hackerek lecsapnak az OAuth hibáira

Új csalási hullám: e-mailek, amelyek egyáltalán nem tűnnek gyanúsnak

A közszférát és állami szervezeteket célzó támadók adathalász leveleket küldenek, amelyekben például elektronikus aláírási kérelmek, társadalombiztosítási értesítések, tárgyalási meghívók vagy jelszó-visszaállító linkek találhatók; mindegyik tartalmaz egy OAuth-átirányító URL-t. Ezt gyakran PDF-fájlokban rejtik el, hogy kikerüljék a figyelmet és a védekező szűrőket.

Hogyan működik a támadás?

Nemcsak rosszindulatú alkalmazásokat regisztrálnak saját felügyeletű környezetben, hanem ezekhez beállítanak egy rosszindulatú infrastruktúrára mutató visszairányítási URI-t is. Az OAuth engedélykérő URL első ránézésre szabályosnak tűnik, de a folyamat során hamis paraméterekkel csendes (felhasználói interakció nélküli) hibát generálnak, amitől a rendszer automatikusan a támadó oldalára irányítja a felhasználót.

Kifinomult eszközök: munkamenet-eltérítés és fájlletöltés

A felhasználók gyakran adathalász oldalon kötnek ki, ahol EvilProxy-típusú keretrendszerrel találják szembe magukat – amely képes valódi munkamenet-sütik eltérítésére, így akár a többfaktoros hitelesítést is megkerüli. Más esetekben automatikusan ZIP-fájl töltődik le, benne LNK-parancsikonokkal és HTML-alapú smuggling technikákkal. Megnyitásuk után ezek PowerShellen keresztül futnak, majd egy kártékony DLL-dekódoló letölti a végső adathalász trójait, miközben egy ártalmatlan programmal tereli el a figyelmet.

Mit tehetünk ellene?

A védelmet szigorítani kell: minimális jogosultságokat adni az OAuth-alkalmazásoknak, erős személyazonosság-védelmet és feltételes hozzáférési szabályokat alkalmazni, valamint a fenyegetéseket e-mailen, identitáson és végpontokon egyszerre keresni. Az ilyen típusú támadások pontosan a szabványos OAuth-működésbe kapaszkodnak, ezért minden szervezetnek kiemelten kell figyelnie az efféle hibák kihasználására.

2025, adrienne, www.bleepingcomputer.com alapján