Alerta de Segurança: Golpe que Ataca Logins sem Senha
A Microsoft emitiu um alerta sobre um golpe que explora o comportamento legítimo do OAuth, um protocolo de autorização amplamente utilizado, para contornar defesas convencionais de phishing. Esse golpe não depende do roubo de credenciais e tem como alvo prioritário organizações governamentais e do setor público.
O que é OAuth e Como é Explorado
O OAuth é um protocolo de autorização que permite que um sistema confirme a identidade de um usuário e autorize o acesso a recursos em seu nome. Ele é usado em botões como "Entrar com o Google" ou "Entrar com a Microsoft". Os atacantes exploram o mecanismo nativo de redirecionamento do OAuth, que ocorre quando há um erro durante a autenticação, para redirecionar as vítimas a páginas e arquivos maliciosos.
Técnica de Ataque
Os atacantes registram um aplicativo falso dentro de plataformas como o Microsoft Entra ID ou o Google Workspace e configuram o destino para apontar a um servidor sob seu controle. Eles usam o parâmetro prompt=none, que faz com que o provedor de identidade tente autenticar o usuário silenciosamente, e um escopo intencionalmente inválido, garantindo que a autenticação não seja concluída. Quando a autenticação falha, o provedor de identidade redireciona o navegador da vítima para o URI registrado, que é controlado pelo atacante.
Consequências do Ataque
As vítimas são redirecionadas a páginas de phishing intermediárias, como o EvilProxy, que podem interceptar credenciais e cookies de sessão. Outras campanhas levam as vítimas a baixar arquivos ZIP contendo atalhos maliciosos que executam scripts PowerShell, iniciando uma cadeia de comprometimento do dispositivo. Esses scripts podem coletar informações sobre o ambiente da vítima e aplicar técnicas como DLL sideloading e fileless malware, dificultando a detecção por antivírus tradicionais.
Prevenção e Conclusão
É importante que os usuários estejam cientes desses golpes e tomem medidas de segurança, como verificar a autenticidade dos links e anexos antes de clicar ou baixar. A Microsoft desativou os aplicativos OAuth identificados durante a investigação, mas alerta que a atividade relacionada persiste e exige monitoramento contínuo.
Conclusão
O golpe que explora o OAuth é uma ameaça séria, especialmente para organizações governamentais e do setor público. É fundamental que os usuários e as organizações estejam preparados e tomem medidas de segurança para prevenir esses ataques. A conscientização sobre esses golpes e a adoção de práticas de segurança robustas são chaves para proteger contra essas ameaças emergentes.
