Pesquisadores descobriram campanhas que aproveitam o comportamento legítimo do OAuth para burlar defesas tradicionais contra phishing.
No mês de março, a Microsoft revelou uma série de esquemas de phishing que utilizam o comportamento legítimo do protocolo OAuth. Esse protocolo é amplamente empregado para autenticações em serviços como o botão “Entrar com o Google”, redirecionando vítimas para páginas e arquivos prejudiciais.
A característica inovadora deste ataque é sua independência do roubo de credenciais: a infecção avança mesmo na total falha da autenticação. As campanhas visam especialmente organizações governamentais e do setor público.
O que é OAuth e sua exploração
OAuth é um protocolo de autorização, que estabelece normas para que um sistema verifique a identidade de um usuário e conceda acesso a recursos em seu nome. Ele é a base de botões como “Entrar com o Google” ou “Entrar com a Microsoft”.
Esse protocolo possui um mecanismo que redireciona automaticamente o usuário para uma página segura previamente definida, no caso de erro na autenticação. Em situações normais, esse redirecionamento leva o usuário a um URI seguro, que é fundamental para a criação de endereços na internet, como URLs.
Como os atacantes induzem erros de autenticação intencionalmente
Os criminosos se deram conta de que é possível registrar um aplicativo falso em plataformas como Microsoft Entra ID ou Google Workspace, apontando este destino para um servidor sob seu controle.
Para ativar o redirecionamento, combinam dois recursos mencionados na própria especificação do OAuth. O primeiro é o parâmetro prompt=none, que faz com que o provedor de identidade tente autenticar o usuário de forma silenciosa, sem mostrar qualquer tela de login.
O segundo recurso envolve um escopo inválido, que define as permissões solicitadas pelo aplicativo. Ao usar um valor inexistente, o atacante assegura que a autenticação nunca seja concluída.
Quando a autenticação falha, o provedor redireciona o navegador da vítima para o URI registrado junto com um código de erro. Como este URI foi configurado pelo atacante, a vítima acaba sendo redirecionada automaticamente para o domínio malicioso, sem ter feito login ou comprometido suas credenciais diretamente.
Como a isca chega às vítimas
A distribuição acontece via e-mail, com iscas de temas corporativos, como solicitações de assinatura eletrônica, comunicados previdenciários, alertas financeiros, redefinições de senha e relatórios de RH.
Em algumas ocasiões, a URL maliciosa está embutida em um anexo PDF vazio no corpo da mensagem, dificultando a análise por sistemas de segurança que inspecionam predominantemente o texto das mensagens. Falsos convites de calendário no formato .ics também são utilizados para simular reuniões reais e aumentar a aparência de legitimidade.
Uma técnica de personalização identificada usa o parâmetro state, que em um uso legítimo do OAuth serve como um valor aleatório de segurança. Nos ataques observados, os criminosos reaproveitam esse campo para codificar o endereço de e-mail da vítima em diferentes formatos.
Como resultado, ao chegar à página de phishing, o endereço já aparece preenchido no formulário, criando uma falsa sensação de reconhecimento por parte do sistema e aumentando a probabilidade de que a vítima insira sua senha.
O que acontece após o redirecionamento
Os destinos variam com base na campanha. Algumas vítimas são redirecionadas para plataformas de phishing intermediárias, como o EvilProxy, que atuam como intermediários maliciosos e conseguem interceptar em tempo real tanto as credenciais digitadas quanto os cookies de sessão, arquivos que o navegador possui para manter o usuário logado.
Com esses cookies, o criminoso pode acessar a conta da vítima mesmo que esta utilize autenticação de dois fatores.
Outras campanhas fazem o download automático de um arquivo ZIP que contém um atalho .LNK. Ao ser aberto, este atalho executa um script PowerShell, uma linguagem de automação nativa do Windows, dando início a uma cadeia de comprometimento do dispositivo.
A cadeia de infecção no computador da vítima
O script começa a coletar informações sobre o ambiente da vítima, como configurações de rede e processos em execução, para que o criminoso identifique se está lidando com um ambiente corporativo antes de prosseguir. Em seguida, ele extrai três arquivos: steam_monitor.exe, crashhandler.dll e crashlog.dat.
O ataque utiliza uma técnica chamada DLL sideloading: o executável legítimo steam_monitor.exe, que finge ser parte da plataforma Steam, carrega a DLL maliciosa crashhandler.dll em vez do arquivo original.
Como o início do processo parece legítimo, ferramentas de segurança não suspeitam imediatamente. A DLL descriptografa o crashlog.dat — que na verdade não é um log de erros real, mas a carga maliciosa do ataque — e a executa diretamente na memória do computador, sem criar arquivos adicionais no disco.
Essa técnica, chamada de fileless malware, torna a detecção por antivírus tradicionais muito difícil. Por fim, o malware se conecta a um servidor externo de comando e controle, a partir do qual o atacante pode enviar instruções, exfiltrar dados ou instalar componentes adicionais.
O Microsoft Entra ID bloqueou os aplicativos OAuth identificados durante a investigação, mas a Microsoft alerta que a atividade relacionada continua e exige monitoramento constante.