Ausgangspunkt der Angriffe ist eine bösartige Anwendung, die der Angreifer in einem von ihm kontrollierten Mandanten (Tenant) anlegt. Diese Anwendung ist mit einer Weiterleitungs-URL konfiguriert, die auf eine fremde Domain mit gehosteter Malware verweist. Anschließend verbreiten die Täter einen OAuth-Phishing-Link, der die Empfänger auffordert, sich bei der bösartigen Anwendung zu authentifizieren — und zwar mit einem absichtlich ungültigen Scope. Die Weiterleitung führt dazu, dass Nutzer unbemerkt selbst Malware herunterladen und ihre Geräte infizieren.
Die Schadlast wird laut Microsoft als ZIP-Archiv verteilt. Beim Entpacken folgen PowerShell-Ausführung, DLL-Sideloading sowie Vorbereitungen für Ransomware-Angriffe beziehungsweise manuelle Aktivitäten der Angreifer. Das ZIP-Archiv enthält eine Windows-Verknüpfung (LNK), die beim Öffnen sofort einen PowerShell-Befehl ausführt. Diese PowerShell-Last führt zunächst Erkundungsbefehle auf dem Host aus.
Aus dem Archiv extrahiert die LNK-Datei zudem einen MSI-Installer, der ein Täuschungsdokument ablegt, um das Opfer abzulenken. Gleichzeitig wird eine bösartige DLL (“crashhandler.dll”) über die legitime Binärdatei “steam_monitor.exe” per Sideloading geladen. Die DLL entschlüsselt eine weitere Datei namens “crashlog.dat” und führt die finale Schadlast direkt im Arbeitsspeicher aus. Auf diese Weise baut sie eine ausgehende Verbindung zu einem externen Command-and-Control-Server (C2) auf.
Als Köder dienen den E-Mails laut Microsoft Themen wie Anfragen zu elektronischen Signaturen, Teams-Aufzeichnungen sowie soziale, finanzielle und politische Inhalte. Versandt wurden die Nachrichten über Massenversand-Werkzeuge sowie eigens in Python und Node.js entwickelte Lösungen. Die Links stehen entweder direkt im E-Mail-Text oder sind in einem PDF-Dokument platziert.
Um die Glaubwürdigkeit zu erhöhen, schleusten die Angreifer die Zieladresse mit verschiedenen Kodierungstechniken durch den state-Parameter, sodass sie auf der Phishing-Seite automatisch eingetragen wurde. Eigentlich soll dieser Parameter zufällig erzeugt werden und Anfrage- mit Antwortwerten verknüpfen; hier wurde er umfunktioniert, um kodierte E-Mail-Adressen zu transportieren.
Microsoft hat im Zuge der Untersuchung mehrere bösartige OAuth-Anwendungen entfernt. Organisationen rät das Unternehmen, die Einwilligung der Nutzer einzuschränken, App-Berechtigungen regelmäßig zu prüfen sowie ungenutzte oder überprivilegierte Anwendungen zu entfernen.
