• 22 de maio de 2026
  • 16:54
Facebook Twitter Youtube

MENU

Microsoft Alerta: Novo Golpe de Phishing Explora OAuth para Ataques Sem Senha Contra Entidades Governamentais

PUBLICIDADE

  • Plantão Marília
  • Atualizado em:
  • Últimas Notícias

A Microsoft divulgou recentemente um alerta sobre uma série de sofisticadas campanhas de phishing que subvertem o comportamento legítimo do protocolo OAuth, um padrão amplamente utilizado para autenticação em diversos serviços online. Diferentemente dos ataques tradicionais, esta nova onda de golpes não se baseia no roubo direto de credenciais; a infecção progride mesmo quando a autenticação inicial falha. Os cibercriminosos exploram uma particularidade do protocolo para redirecionar vítimas a páginas e arquivos maliciosos, visando prioritariamente organizações governamentais e do setor público, o que indica uma ameaça estratégica e de alto impacto.

A Essência do OAuth e Sua Exploração Inesperada

O OAuth, um protocolo de autorização global, funciona como um conjunto de regras padronizadas que permitem a um sistema verificar a identidade de um usuário e conceder acesso a recursos em seu nome. Ele é o alicerce de funcionalidades convenientes como os botões "Entrar com o Google" ou "Entrar com a Microsoft", simplificando o processo de login. Contudo, o protocolo inclui um mecanismo nativo de redirecionamento para situações de erro durante a autenticação. Sob condições normais, este redirecionamento direciona o usuário de volta a um endereço seguro (URI de redirecionamento) previamente configurado pelo desenvolvedor do aplicativo. É justamente essa funcionalidade, projetada para segurança e usabilidade, que está sendo manipulada.

A Engenharia Reversa da Autenticação para Redirecionamento Malicioso

Os cibercriminosos identificaram uma brecha na implementação desses redirecionamentos de erro. Eles conseguem registrar um aplicativo fraudulento em plataformas legítimas, como Microsoft Entra ID ou Google Workspace, e configurar seu URI de redirecionamento para um servidor sob seu controle. Para acionar o erro de autenticação de forma intencional, os atacantes empregam dois parâmetros específicos da especificação OAuth: <b>`prompt=none`</b>, que força o provedor de identidade a tentar autenticar o usuário silenciosamente, sem exibir uma tela de login; e um <b>`scope`</b> (escopo de permissões) deliberadamente inválido. Ao solicitar uma permissão inexistente, a autenticação é garantida a falhar.

O resultado dessa falha é o redirecionamento automático do navegador da vítima para o URI malicioso registrado pelos atacantes, sem que nenhuma credencial tenha sido diretamente comprometida ou que o usuário tenha efetuado login. Este método não é uma falha específica de um provedor, mas uma exploração de especificações presentes nas RFC 6749 e RFC 9700, tornando-o aplicável a qualquer serviço compatível com OAuth, não sendo exclusivo da Microsoft ou do Google.

O Vetor de Ataque: Iscas Digitais e Personalização Persuasiva

A disseminação desses golpes é predominantemente via e-mail, utilizando iscas com temáticas corporativas e financeiras para enganar as vítimas. Assuntos como solicitações de assinatura eletrônica, comunicados previdenciários, alertas financeiros, redefinições de senha e relatórios de RH são comumente empregados. Para contornar sistemas de segurança, algumas campanhas ocultam a URL maliciosa dentro de anexos PDF enviados sem conteúdo no corpo da mensagem, uma tática que dificulta a detecção por ferramentas que focam no texto. Convites de calendário falsos no formato .ics também são utilizados para simular reuniões legítimas e reforçar a credibilidade do ataque.

Além disso, uma técnica de personalização sofisticada envolve a manipulação do parâmetro <b>`state`</b> do OAuth. Originalmente um valor aleatório de segurança, os atacantes o reutilizam para codificar o endereço de e-mail da vítima, fazendo com que ele apareça automaticamente preenchido em formulários de phishing. Isso cria uma falsa sensação de reconhecimento pelo sistema, aumentando drasticamente a probabilidade de a vítima inserir suas credenciais, que então seriam interceptadas.

As Consequências Imediatas: Roubo de Credenciais e Infecção de Dispositivos

Uma vez redirecionadas, as vítimas são expostas a diferentes cenários de ataque, dependendo da estratégia da campanha maliciosa.

Plataformas Intermediárias e o Roubo de Cookies de Sessão

Parte dos usuários é direcionada a plataformas de phishing intermediárias, como o serviço conhecido como EvilProxy. Estes sistemas atuam como proxies maliciosos, capazes de interceptar em tempo real não apenas as credenciais digitadas, mas também os cookies de sessão. Estes pequenos arquivos, armazenados pelo navegador para manter o usuário logado, são cruciais. Com eles em mãos, os atacantes podem burlar mecanismos de autenticação de dois fatores (2FA), acessando a conta da vítima diretamente, mesmo sem a senha.

Infecção por Malware: O Início da Cadeia de Comprometimento

Outras vertentes das campanhas visam a infecção direta do dispositivo. Nesses casos, as vítimas são levadas a fazer o download automático de um arquivo ZIP que contém um atalho .LNK malicioso. Ao ser aberto, este atalho executa silenciosamente um script PowerShell, uma poderosa linguagem de automação nativa do Windows, que inicia uma complexa cadeia de comprometimento do sistema. O script inicial tem como objetivo coletar informações detalhadas sobre o ambiente da vítima, como configurações de rede e processos em execução. Essa fase de reconhecimento permite ao atacante determinar se o alvo é um ambiente corporativo antes de prosseguir com etapas mais agressivas. Após essa avaliação, o script extrai e prepara para execução três arquivos adicionais: <b>`steam_monitor.exe`</b>, <b>`crashhandler.dll`</b> e <b>`crashlog.dat`</b>, sinalizando o aprofundamento da infecção.

Conclusão: Respostas a um Cenário de Ameaça em Evolução

A advertência da Microsoft sublinha a evolução das táticas de cibersegurança, onde a engenharia social e a exploração de comportamentos de protocolos legítimos se tornam cada vez mais sofisticadas. Este golpe, que dispensa o roubo direto de senhas e mira setores críticos como o governo, exige uma reavaliação das defesas tradicionais. A complexidade de seu mecanismo, desde o redirecionamento via OAuth até a potencial exfiltração de cookies de sessão ou a infecção por malware, ressalta a importância de uma vigilância constante e de estratégias de segurança multicamadas que vão além da simples proteção de credenciais, focando na detecção de comportamentos anômalos e na educação dos usuários para mitigar os riscos dessa ameaça crescente.

Fonte: https://www.tecmundo.com.br

Mais recentes

Secretaria da Saúde de SP Reforça Preparação Contra Ebola em Meio a Surtos na África

© Reuters/Gradel Muyisa Mumbere/Proibida reprodução

Spotify Impulsiona Futuro do Áudio com Inteligência Artificial, Novas Ferramentas para Criadores e Benefícios Exclusivos para Fãs

O Podcast Pessoal é um podcast inteiramente gerado por IA. (Fonte: Spotify/Divulgação)

Michael Jackson: O Veredito – Netflix Revisa o Julgamento Criminal de 2005

Michael Jackson: The Verdict estreia na Netflix no dia 3 de junho de 2026

Imposto de Renda: Discrepâncias em Deduções para Pessoas com Deficiência e Neurodivergências

© Tomaz Silva/Agência Brasil

Fragmento Histórico da Torre Eiffel Alcança Cifra Milionária em Leilão Parisiense

Rio Sena e torre eiffel, em Paris, na França  • Reuters

Brasil Lidera Ofensiva Global pela Repatriação de Patrimônios Naturais e Culturais em 14 Países

© Joédson Alves/Agência Brasil

PUBLICIDADE

Facebook Twitter Youtube Spotify Telegram