Microsoft hat Phishing-Kampagnen aufgedeckt, die OAuth-Umleitungsmechanismen missbrauchen, um Malware auf Regierungs- und Behördensysteme einzuschleusen. Die Angreifer umgehen dabei herkömmliche E-Mail- und Browser-Schutzmaßnahmen, ohne Zugriffstoken zu stehlen.
Microsoft hat am Montag vor koordinierten Phishing-Kampagnen gewarnt, die eine raffinierte Methode zur Umgehung gängiger Sicherheitsmaßnahmen nutzen. Die Attacken richten sich gezielt gegen Regierungs- und Behördenorganisationen und missbrauchen dabei die OAuth-Authentifizierungstechnik auf legale, aber bösartige Weise.
Im Gegensatz zu klassischen Phishing-Angriffen exploitiert diese Kampagne keine Software-Schwachstellen oder stiehlt Anmeldedaten. Stattdessen nutzen die Angreifer eine legitime Funktion von OAuth – die Benutzerumleitung zu spezifischen Seiten unter bestimmten Bedingungen – und zweckentfremden diese gezielt für ihre Ziele.
Das Angriffsmuster funktioniert nach einem durchdachten Schema: Die Cyberkriminellen erstellen eine bösartige Anwendung in einem selbst kontrollierten Tenant und konfigurieren diese mit einer Weiterleitungs-URL zu einer Domain mit Malware. Anschließend versenden sie Phishing-E-Mails mit OAuth-Links, die Empfänger zur Authentifizierung an der manipulierten Anwendung auffordern. Durch absichtlich ungültige Parameter wird die Umleitung ausgelöst – die Nutzer laden unwissentlich Malware auf ihre Systeme.
Die Schadsoftware wird als ZIP-Datei verbreitet. Beim Öffnen enthält diese eine Windows-Verknüpfung, die sofort PowerShell-Befehle ausführt. Diese sammeln zunächst Informationen über das System. Ein darin integriertes MSI-Installationsprogramm platziert ein Köder-Dokument zur Täuschung des Opfers, während die eigentliche Malware – eine DLL namens “crashhandler.dll” – durch Sideloading der legitimen Datei “steam_monitor.exe” in das System gelangt. Diese DLL entschlüsselt dann eine weitere Datei und führt die finale Schadsoftware aus, die sich mit einem Command-and-Control-Server verbindet.
Die Phishing-E-Mails nutzen verschiedene Köder wie E-Signatur-Anfragen, Teams-Aufzeichnungen, Sozialversicherungsnummern oder politische Themen. Sie werden mittels spezieller Tools in Python und Node.js verbreitet. Besonders raffiniert: Die Angreifer codieren die E-Mail-Adresse des Zielobjekts in den sogenannten “State Parameter” ein, um diese automatisch auf der Phishing-Seite auszufüllen und damit Glaubwürdigkeit zu vermitteln.
In einigen Fällen nutzten die Angreifer auch Phishing-Frameworks wie EvilProxy als Man-in-the-Middle-Systeme, um Anmeldedaten und Session-Cookies abzufangen.
Microsoft hat mehrere der identifizierten bösartigen OAuth-Anwendungen bereits entfernt. Das Unternehmen empfiehlt Organisationen, die Benutzerbestätigung für App-Zugriffe zu limitieren, regelmäßig die Berechtigungen vorhandener Anwendungen zu überprüfen und ungenutzter oder überberechtigte Apps zu entfernen.
Quelle: The Hacker News