黑客现在使用微软的官方登录信息向政府机构发送恶意软件

雅加达 - 微软警告说，一项复杂的网络钓鱼活动利用OAuth功能将恶意软件发送到政府和公共部门组织。与窃取密码的经典攻击不同，这种最新策略使用官方登录页面作为入口来分发恶意文件。

根据微软的官方报告，黑客组织滥用了OAuth系统中的合法重定向功能。OAuth本身是一种授权协议，允许用户使用受信任的帐户登录到服务，而无需将凭证直接提供给第三方应用程序。从设计上讲，该系统是安全的。但在这次活动中，漏洞不是来自一个bug，而是来自如何操纵该功能。

攻击者发送了一封设计非常令人信服的电子邮件。一些人伪装成微软Teams会议录音，其他人声称是迫切的Microsoft 365密码重置通知。电子邮件中包含一个带有修改过的OAuth参数的链接。

当受害者点击链接时，他们被重定向到微软官方登录页面。没有可疑的显示。然而，身份验证过程故意触发了一个错误。正是这个错误激活了重定向功能，因此用户可以无缝地被重定向到黑客控制的网站。

在这一点上，攻击改变了形状。受害者没有被要求重新输入密码。相反，他们被引导到一个提供恶意下载文件的钓鱼即服务平台。

在其中一个揭露的案例中，受害者下载了一个ZIP存档，其中包含了偷运的快捷方式和HTML组件文件。打开文件时，它运行了一个隐藏的PowerShell命令，调用了一个合法的可执行文件，然后通过侧载技术加载了一个恶意DLL。最终的结果是与命令和攻击者控制的服务器的出站连接。

微软证实，OAuth登录页面没有被黑客入侵，官方屏幕上也没有凭据被盗。该系统按设计工作。但是，重新定向功能确实打算在登录后将用户重定向到应用程序，但它实际上被用作恶意软件分发路径。

这次攻击反映了网络钓鱼技术的演变。如果以前重点是欺骗用户提交密码，那么现在的方法更微妙：利用对官方登录页面的信任来创造一种安全感，然后通过危险下载诱捕受害者。

该科技公司敦促组织加强电子邮件过滤系统，审查应用程序重定向配置，并提高员工对高级网络钓鱼策略的教育。该运动的规模尚不清楚，但攻击模式表明其计划的成熟程度。

在单一登录和集中身份验证成为数字生产力的支柱的时代，如果没有密切关注，每个便利功能都可能变成操纵工具。网络世界发展迅速，威胁行为者似乎越来越有创造性地利用合法的东西变成危险的东西。