OAuth és a veszélyes átirányítás
Az OAuth egy világszerte elterjedt, harmadik fél által hitelesített belépési szabvány, amellyel elérhető például az egyszerű Facebook- vagy Google-fiókos bejelentkezés különféle webhelyekre. Egy kevéssé ismert, de teljesen hivatalos funkciója, hogy hibák esetén képes automatikusan átirányítani a felhasználót egy meghatározott oldalra. Ezt a lehetőséget azonban most a támadók a felhasználók ellen fordítják: előre megtervezett OAuth-linkeket hoznak létre, amelyek gyakran egy rosszindulatú „hibaoldalra” vezetnek, ahol a káros program letöltése máris megindul a gépre.
Kifinomult csali – PDF-melléklet, Teams-meghívó és kampányszöveg
Az akciók mind adathalász e-mailekkel kezdődnek: digitális aláíráskérésnek álcázott levelek, Teams-értekezlet-felvételek, Microsoft 365-jelszó-visszaállítás vagy aktuális politikai témák szerepelnek a csalik között. Sok esetben PDF-mellékletben érkezik a támadói link, vagy az üzenetben rejtik el. Gyakran előre elkészített, tömeges e-mail-küldő eszközt, néha Python nyelven írt egyedi megoldást is bevetnek. Külön figyelemre méltó, hogy gyakran felhőalapú e-mail-szolgáltatáson vagy internetre csatlakoztatott virtuális gépen keresztül történik a „kézbesítés”, így a felhasználók számára még alacsonyabb a gyanús elemek száma.
Trükközés a jogosultságokkal – és a letöltések automatikusan indulnak
A csalók által használt link első pillantásra hivatalosnak tűnik; paramétereiben azonban hibát generálnak, amely átirányítja a böngészőt egy támadó által kontrollált oldalra, ahol automatikusan elindul a ZIP-archívum letöltése. A ZIP-fájlban LNK (parancsikon) és HTML-alapú csempészkód található. Ha az áldozat elindítja a parancsikont, az egy PowerShell-parancsot futtat, feltérképezi a gépet, majd egy legitim alkalmazást, a steam_monitor.exe-t használja egy rosszindulatú DLL betöltésére. Ezután a kártékony DLL dekódolja a crashlog.dat állományt, és a végső támadókód már külső irányítószerverhez kapcsolódik – teljes hozzáférést szerezve az eszközhöz.
Valószínűsíthető, hogy a módszer továbbra is terjed majd
Bár a Microsoft letiltotta az első hullámban használt alkalmazásokat, az ilyen átirányításalapú technikák folyamatos ellenőrzést igényelnek. Az eddigi tapasztalatok alapján a támadók gyorsan tudják változtatni a káros tartalmú oldalakat, így a védekezés továbbra is kihívás marad.
