Lundi, Microsoft a mis en garde contre des campagnes d’hameçonnage utilisant des courriels frauduleux et des mécanismes de redirection d’URL OAuth pour contourner les défenses anti-hameçonnage classiques mises en œuvre dans les messageries électroniques et les navigateurs.

L’entreprise a indiqué que cette activité cible les organismes gouvernementaux et du secteur public dans le but de rediriger les victimes vers une infrastructure contrôlée par les attaquants, sans pour autant leur dérober leurs jetons. Elle a décrit ces attaques de phishing comme une menace basée sur l’usurpation d’identité, exploitant le fonctionnement standard et inhérent au protocole OAuth plutôt que des vulnérabilités logicielles ou le vol d’identifiants.

« OAuth inclut une fonctionnalité légitime qui permet aux fournisseurs d’identité de rediriger les utilisateurs vers une page de destination spécifique dans certaines conditions, généralement dans des scénarios d’erreur ou d’autres flux définis », a déclaré l’équipe de recherche en sécurité de Microsoft Defender .

« Les attaquants peuvent exploiter cette fonctionnalité native en créant des URL avec des fournisseurs d’identité populaires, tels qu’Entra ID ou Google Workspace, qui utilisent des paramètres manipulés ou des applications malveillantes associées pour rediriger les utilisateurs vers des pages de destination contrôlées par l’attaquant. Cette technique permet la création d’URL qui semblent inoffensives mais qui mènent en réalité vers des destinations malveillantes. »

L’attaque débute par une application malveillante créée par l’attaquant sur un serveur qu’il contrôle. Cette application est configurée avec une URL de redirection pointant vers un domaine malveillant hébergeant un logiciel malveillant. Les attaquants diffusent ensuite un lien d’hameçonnage OAuth incitant les destinataires à s’authentifier auprès de l’application malveillante à l’aide d’un périmètre d’autorisation volontairement invalide.

Cette redirection a pour conséquence que les utilisateurs téléchargent et infectent involontairement leurs appareils avec des logiciels malveillants. Ces logiciels malveillants sont distribués sous forme d’archives ZIP qui, une fois décompressées, entraînent l’exécution de scripts PowerShell, le chargement latéral de DLL et des actions de pré-rançonnage ou des saisies au clavier, a indiqué Microsoft.

Le fichier ZIP contient un raccourci Windows (LNK) qui exécute une commande PowerShell dès son ouverture. Cette commande PowerShell permet d’effectuer une reconnaissance du système en exécutant des commandes de découverte. Le fichier LNK extrait de l’archive ZIP un programme d’installation MSI, lequel dépose ensuite un document leurre pour tromper la victime, tandis qu’une DLL malveillante (« crashhandler.dll ») est installée par le biais du binaire légitime « steam_monitor.exe ».

La DLL procède ensuite au décryptage d’un autre fichier nommé « crashlog.dat » et exécute la charge utile finale en mémoire, ce qui lui permet d’établir une connexion sortante vers un serveur de commande et de contrôle (C2) externe.

Microsoft a déclaré que ces courriels utilisent des demandes de signature électronique, des enregistrements Teams, des informations sur la sécurité sociale, la finance et la politique comme appâts pour inciter les utilisateurs à cliquer sur un lien. Ces courriels auraient été envoyés via des outils d’envoi en masse et des solutions personnalisées développées en Python et Node.js. Les liens sont soit directement intégrés au corps du courriel, soit placés dans un document PDF.

« Pour renforcer la crédibilité de leurs attaques, les auteurs ont transmis l’adresse électronique cible via le paramètre d’état en utilisant diverses techniques d’encodage, permettant ainsi son affichage automatique sur la page d’hameçonnage », a déclaré Microsoft. « Le paramètre d’état est censé être généré aléatoirement et servir à corréler les valeurs des requêtes et des réponses, mais dans ces cas précis, il a été détourné pour transporter des adresses électroniques encodées. »

Alors que certaines campagnes exploitent cette technique pour diffuser des logiciels malveillants, d’autres envoient les utilisateurs vers des pages hébergées sur des plateformes d’hameçonnage telles qu’EvilProxy, qui agissent comme un kit d’attaquant du milieu (AitM) pour intercepter les identifiants et les cookies de session.

Microsoft a depuis supprimé plusieurs applications OAuth malveillantes identifiées dans le cadre de l’enquête. Il est conseillé aux organisations de limiter le consentement des utilisateurs, de vérifier régulièrement les autorisations des applications et de supprimer les applications inutilisées ou disposant de privilèges excessifs.