Cercetătorii în securitate de la au dezvăluit o serie de campanii de phishing care exploatează o funcționalitate legitimă a standardului de autentificare OAuth pentru a redirecționa victimele către site-uri web controlate de atacatori, unde acestea sunt induse în eroare să descarce malware sau să-și divulge credențialele. Campaniile, detaliate într-o postare pe blog publicată pe Microsoft Security Blog, vizează organizații guvernamentale și din sectorul public.
În loc să fure token-uri de acces OAuth — obiectivul tipic al atacurilor bazate pe OAuth — actorii amenințători abuzează de comportamentul integrat de gestionare a erorilor al protocolului pentru a redirecționa utilizatorii în mod silențios după o încercare eșuată de autentificare. Microsoft Entra a dezactivat aplicațiile OAuth malițioase identificate până acum, dar compania a avertizat că „activitatea OAuth conexă persistă și necesită monitorizare continuă”.
Cum funcționează atacul
Tehnica se bazează pe modul în care furnizorii de identitate precum Microsoft Entra ID și Google Workspace gestionează erorile în timpul fluxului de autorizare OAuth. Atacatorii înregistrează aplicații OAuth malițioase cu URI-uri de redirecționare care indică către infrastructuri pe care le controlează. Apoi, ei creează URL-uri de autorizare cu parametri intenționat invalizi — precum domenii de permisiuni false și un prompt setat pe „none” — care forțează o eșuare silențioasă a autentificării.
„La prima vedere, aceasta arată ca o cerere standard de autorizare OAuth, dar mai mulți parametri sunt intenționat utilizați greșit”, au scris vânătorii de amenințări de la Microsoft, potrivit The Register. Deoarece furnizorul de identitate este conceput să redirecționeze răspunsurile de eroare înapoi către URI-ul de redirecționare înregistrat al aplicației, victimele sunt redirecționate fără probleme de la un domeniu de autentificare de încredere către o pagină de destinație malițioasă.
E-mailurile de phishing care inițiază lanțul de atac folosesc momeală familiară: cereri de semnătură electronică, invitații de a vizualiza înregistrări Microsoft Teams, notificări de resetare a parolei și teme politice. În unele cazuri, URL-ul malițios a fost încorporat într-un atașament PDF. Atacatorii au folosit instrumente gratuite de trimitere în masă, precum și soluții personalizate construite în Python și Node.js, iar în unele cazuri s-au bazat pe servicii de e-mail în cloud și mașini virtuale găzduite în cloud pentru a distribui mesajele.
Încărcături utile și furtul de credențiale
Într-o campanie documentată, redirecționarea a livrat o arhivă ZIP care conținea un fișier shortcut LNK. Deschiderea acestui shortcut a declanșat o comandă PowerShell care a efectuat o recunoaștere a mașinii victimei, apoi a lansat un executabil legitim — steam_monitor.exe — pentru a încărca lateral un DLL malițios. Acel DLL a decriptat un fișier de date și a executat o încărcătură utilă finală în memorie, stabilind o conexiune către un server extern de comandă și control.
Alte lanțuri de redirecționare au trimis victimele către platforme de phishing-ca-serviciu, precum EvilProxy, care interceptează credențialele și cookie-urile de sesiune în timp real, ocolind efectiv autentificarea multi-factor. Firma de securitate LevelBlue a documentat separat o tehnică similară în ianuarie 2026, în care atacatorii au folosit același mecanism de redirecționare OAuth pentru a direcționa victimele prin pagini intermediare și CAPTCHA-uri înainte de a prezenta o pagină falsă de autentificare Microsoft 365 care a capturat credențialele printr-un relay man-in-the-middle.
Apărare și perspective
Microsoft a recomandat organizațiilor să limiteze consimțământul utilizatorilor pentru aplicațiile OAuth, să revizuiască periodic permisiunile aplicațiilor acordate și să implementeze capabilități de detectare și răspuns extinse pe mai multe domenii pentru a identifica activități suspecte prin semnale de e-mail, identitate și endpoint. Compania a publicat, de asemenea, interogări avansate de căutare pentru Microsoft Defender XDR pentru a ajuta echipele de securitate să identifice activitatea asociată în mediile lor.
Un cercetător în securitate care a analizat campania a estimat că aceasta a fost activă de la sfârșitul lunii decembrie 2025 până la sfârșitul lunii februarie 2026. Deoarece tehnica exploatează comportamentul OAuth conform standardelor, și nu o vulnerabilitate software, aceasta nu poate fi pur și simplu remediată prin patch — o realitate care face monitorizarea continuă și guvernanța strictă a aplicațiilor esențiale.
Surse:
https://www.levelblue.com/blogs/spiderlabs-blog/phishing-with-oauth-redirect