- تحذر Microsoft من أن المتسللين يسيئون استخدام ميزة إعادة توجيه OAuth لتوصيل البرامج الضارة
- رسائل البريد الإلكتروني التصيدية التي تدور حول تسجيلات Teams أو إعادة تعيين 365 تعيد توجيه الضحايا إلى المواقع التي يسيطر عليها المهاجم
- تم إسقاط الحمولات عبر أرشيفات ZIP باستخدام اختصارات LNK وتهريب HTML؛ المرحلة النهائية تتصل بـ C2 الخارجي
تحذر مايكروسوفت من أن المتسللين يسيئون استخدام ميزة إعادة التوجيه في OAuth لإصابة أجهزة الكمبيوتر الخاصة بالأشخاص ببرامج ضارة وسرقة بيانات اعتماد تسجيل الدخول الخاصة بهم.
OAuth (اختصار لـ Open Authorization) هو نظام يتيح للمستخدمين تسجيل الدخول إلى مواقع الويب باستخدام حساباتهم من خدمة أخرى، دون إعطاء كلمة المرور الخاصة بهذا الموقع. كلما ظهرت النافذة المنبثقة “تسجيل الدخول باستخدام Google”، فمن المرجح أن تكون OAuth.
يحتوي هذا النظام على ميزة إعادة التوجيه التي يمكن لموفري الهوية استخدامها لإرسال الزائرين إلى صفحة مقصودة مختلفة، عادةً إذا أدت العملية إلى حدوث خطأ – لكن Microsoft تقول إنه يتم إساءة استخدام هذه الميزة.
تنزيل الحمولة
في الهجمات التي تم رصدها مؤخرًا، يرسل المحتالون رسائل بريد إلكتروني تصيدية إلى مؤسسات الحكومة والقطاع العام، وعادةً ما يكون موضوعها حول تسجيلات اجتماعات Teams، أو طلبات إعادة تعيين كلمة مرور Microsoft 365. ستحتوي رسائل البريد الإلكتروني هذه على رابط يحتوي على معلمات تم إعدادها بعناية والتي، إذا تم النقر عليها، ستظهر OAuth وتؤدي إلى حدوث خطأ.
وبسبب الخطأ، ستتم إعادة توجيه المستخدمين بعد ذلك إلى موقع ويب للتصيد الاحتيالي كخدمة مملوك للمهاجم، حيث تتم استضافة الحمولات الضارة.
وأوضحت مايكروسوفت في منشور بالمدونة: “من خلال استضافة الحمولة على تطبيق إعادة توجيه URI تحت سيطرتهم، يمكن للمهاجمين تدوير أو تغيير المجالات المعاد توجيهها بسرعة عندما تقوم مرشحات الأمان بحظرها”.
وفي أحد الهجمات التي تمت ملاحظتها، تمت إعادة توجيه الضحايا إلى مسار /download/XXXX الذي قام بتنزيل ملف ZIP. يحتوي هذا الأرشيف على اختصارات LNK وأدوات تحميل تهريب HTML، وعندما فتح الضحايا ملفات الاختصار، قاموا بتشغيل أمر PowerShell. وفي المقابل، قام هذا الأمر بتشغيل أوامر الاكتشاف وإطلاق ملف قابل للتنفيذ شرعيًا، والذي، بمساعدة ملف DLL ضار محمّل جانبيًا، نفذ الحمولة النهائية.
وكانت النتيجة اتصالاً خارجيًا بنقطة نهاية C2 خارجية.
تجدر الإشارة إلى أن الضحايا لم يفقدوا بيانات اعتماد تسجيل الدخول الخاصة بهم على صفحة OAuth – فقد تم استخدامها فقط كميزة إعادة توجيه لإسقاط الحمولة. في الوقت الحالي، لا نعرف مدى انتشار الحملة، أو عدد المؤسسات الحكومية التي تأثرت.
أفضل برامج مكافحة الفيروسات لجميع الميزانيات
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات