雅加达 - 微软警告说,一项复杂的网络钓鱼活动利用OAuth功能将恶意软件发送到政府和公共部门组织。与窃取密码的经典攻击不同,这种最新策略使用官方登录页面作为入口来分发恶意文件。
根据微软的官方报告,黑客组织滥用了OAuth系统中的合法重定向功能。OAuth本身是一种授权协议,允许用户使用受信任的帐户登录到服务,而无需将凭证直接提供给第三方应用程序。从设计上讲,该系统是安全的。但在这次活动中,漏洞不是来自一个bug,而是来自如何操纵该功能。
攻击者发送了一封设计非常令人信服的电子邮件。一些人伪装成微软Teams会议录音,其他人声称是迫切的Microsoft 365密码重置通知。电子邮件中包含一个带有修改过的OAuth参数的链接。
当受害者点击链接时,他们被重定向到微软官方登录页面。没有可疑的显示。然而,身份验证过程故意触发了一个错误。正是这个错误激活了重定向功能,因此用户可以无缝地被重定向到黑客控制的网站。
在这一点上,攻击改变了形状。受害者没有被要求重新输入密码。相反,他们被引导到一个提供恶意下载文件的钓鱼即服务平台。
在其中一个揭露的案例中,受害者下载了一个ZIP存档,其中包含了偷运的快捷方式和HTML组件文件。打开文件时,它运行了一个隐藏的PowerShell命令,调用了一个合法的可执行文件,然后通过侧载技术加载了一个恶意DLL。最终的结果是与命令和攻击者控制的服务器的出站连接。
微软证实,OAuth登录页面没有被黑客入侵,官方屏幕上也没有凭据被盗。该系统按设计工作。但是,重新定向功能确实打算在登录后将用户重定向到应用程序,但它实际上被用作恶意软件分发路径。
这次攻击反映了网络钓鱼技术的演变。如果以前重点是欺骗用户提交密码,那么现在的方法更微妙:利用对官方登录页面的信任来创造一种安全感,然后通过危险下载诱捕受害者。
该科技公司敦促组织加强电子邮件过滤系统,审查应用程序重定向配置,并提高员工对高级网络钓鱼策略的教育。该运动的规模尚不清楚,但攻击模式表明其计划的成熟程度。
在单一登录和集中身份验证成为数字生产力的支柱的时代,如果没有密切关注,每个便利功能都可能变成操纵工具。网络世界发展迅速,威胁行为者似乎越来越有创造性地利用合法的东西变成危险的东西。
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)
