Az új trükk, amivel kártevőt csempésznek a Microsoft-fiókodba

Az elmúlt hetekben több kormányzati és közszférabeli szervezetet is célba vettek olyan adathalász támadók, akik a Microsoft OAuth jogosultságkezelő rendszerének egy hivatalos funkcióját használják ki, hogy káros programokat telepítsenek a gyanútlan áldozatok gépére. Ezek a csalók nagy fogásra számítanak, hiszen remélik, hogy sikerül teljes hozzáférést szerezni az érintettek eszközeihez, kikerülve a hagyományos jelszólopási trükköket.

OAuth és a veszélyes átirányítás

Az OAuth egy világszerte elterjedt, harmadik fél által hitelesített belépési szabvány, amellyel elérhető például az egyszerű Facebook- vagy Google-fiókos bejelentkezés különféle webhelyekre. Egy kevéssé ismert, de teljesen hivatalos funkciója, hogy hibák esetén képes automatikusan átirányítani a felhasználót egy meghatározott oldalra. Ezt a lehetőséget azonban most a támadók a felhasználók ellen fordítják: előre megtervezett OAuth-linkeket hoznak létre, amelyek gyakran egy rosszindulatú „hibaoldalra” vezetnek, ahol a káros program letöltése máris megindul a gépre.

Kifinomult csali – PDF-melléklet, Teams-meghívó és kampányszöveg

Az akciók mind adathalász e-mailekkel kezdődnek: digitális aláíráskérésnek álcázott levelek, Teams-értekezlet-felvételek, Microsoft 365-jelszó-visszaállítás vagy aktuális politikai témák szerepelnek a csalik között. Sok esetben PDF-mellékletben érkezik a támadói link, vagy az üzenetben rejtik el. Gyakran előre elkészített, tömeges e-mail-küldő eszközt, néha Python nyelven írt egyedi megoldást is bevetnek. Külön figyelemre méltó, hogy gyakran felhőalapú e-mail-szolgáltatáson vagy internetre csatlakoztatott virtuális gépen keresztül történik a „kézbesítés”, így a felhasználók számára még alacsonyabb a gyanús elemek száma.

Trükközés a jogosultságokkal – és a letöltések automatikusan indulnak

A csalók által használt link első pillantásra hivatalosnak tűnik; paramétereiben azonban hibát generálnak, amely átirányítja a böngészőt egy támadó által kontrollált oldalra, ahol automatikusan elindul a ZIP-archívum letöltése. A ZIP-fájlban LNK (parancsikon) és HTML-alapú csempészkód található. Ha az áldozat elindítja a parancsikont, az egy PowerShell-parancsot futtat, feltérképezi a gépet, majd egy legitim alkalmazást, a steam_monitor.exe-t használja egy rosszindulatú DLL betöltésére. Ezután a kártékony DLL dekódolja a crashlog.dat állományt, és a végső támadókód már külső irányítószerverhez kapcsolódik – teljes hozzáférést szerezve az eszközhöz.

Valószínűsíthető, hogy a módszer továbbra is terjed majd

Bár a Microsoft letiltotta az első hullámban használt alkalmazásokat, az ilyen átirányításalapú technikák folyamatos ellenőrzést igényelnek. Az eddigi tapasztalatok alapján a támadók gyorsan tudják változtatni a káros tartalmú oldalakat, így a védekezés továbbra is kihívás marad.

2025, adminboss, go.theregister.com alapján

Share on Social Media