- Microsoft memperingatkan peretas menyalahgunakan fitur pengalihan OAuth untuk mengirimkan malware
- Email phishing bertema rekaman Teams atau pengaturan ulang 365 mengarahkan korban ke situs yang dikendalikan penyerang
- Payload dijatuhkan melalui arsip ZIP dengan pintasan LNK dan penyelundupan HTML; tahap akhir terhubung ke C2 eksternal
Peretas menyalahgunakan fitur pengalihan di OAuth untuk menginfeksi komputer orang perangkat lunak perusak dan mencuri kredensial login mereka, Microsoft adalah peringatan.
OAuth (kependekan dari Otorisasi Terbuka) adalah sistem yang memungkinkan pengguna masuk ke situs web menggunakan akun mereka dari layanan lain, tanpa memberikan kata sandi pada situs web tersebut. Setiap kali pesan “Masuk Dengan Google” munculan yang ditampilkan, kemungkinan besar adalah OAuth.
Sistem ini memiliki fitur pengalihan yang dapat digunakan oleh penyedia identitas untuk mengirim pengunjung ke halaman arahan yang berbeda, biasanya jika proses memicu kesalahan – namun Microsoft mengatakan fitur ini disalahgunakan.
Mengunduh muatan
Dalam serangan yang baru-baru ini terlihat, penjahat akan mengirimkan email phishing ke pemerintah dan organisasi sektor publik, biasanya bertema rekaman rapat Teams, atau permintaan pengaturan ulang kata sandi Microsoft 365. Email ini akan berisi tautan dengan parameter yang dibuat dengan cermat yang, jika diklik, akan memunculkan OAuth dan memicu kesalahan.
Karena kesalahan tersebut, pengguna kemudian akan dialihkan ke situs web phishing-as-a-service milik penyerang, tempat muatan berbahaya dihosting.
“Dengan menghosting payload pada URI pengalihan aplikasi yang berada di bawah kendali mereka, penyerang dapat dengan cepat merotasi atau mengubah domain yang dialihkan ketika filter keamanan memblokirnya,” Microsoft menjelaskan dalam a postingan blog.
Dalam satu serangan yang diamati, korban diarahkan ke jalur /download/XXXX yang mengunduh file ZIP. Arsip tersebut berisi pintasan LNK dan pemuat penyelundupan HTML, dan ketika korban membuka file pintasan, mereka memicu perintah PowerShell. Pada gilirannya, perintah tersebut menjalankan perintah discover dan meluncurkan executable sah yang, dengan bantuan DLL berbahaya yang dimuat di samping, mengeksekusi payload terakhir.
Hasilnya adalah koneksi keluar ke titik akhir C2 eksternal.
Perlu ditekankan bahwa para korban tidak kehilangan nyawanya kredensial masuk di halaman OAuth – itu hanya digunakan sebagai fitur pengalihan untuk menghilangkan muatan. Saat ini, kita tidak tahu seberapa luas kampanye ini, atau berapa banyak organisasi pemerintah yang terkena dampaknya.
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
