Microsoft ha segnalato una nuova ondata di phishing che sfrutta in modo creativo il reindirizzamento OAuth per aggirare i controlli tradizionali di sicurezza di email e browser. Il punto chiave è che non si tratta di una vulnerabilità software classica, ma dell’abuso di un comportamento previsto dal protocollo OAuth, usato normalmente dai provider di identità per rimandare l’utente a una pagina di destinazione in specifici flussi, ad esempio in caso di errore.
Gli attaccanti prendono di mira soprattutto organizzazioni governative e del settore pubblico e puntano a portare le vittime su infrastrutture controllate dal criminale senza necessariamente rubare token o credenziali nel passaggio iniziale. La tecnica si basa sulla creazione di una applicazione malevola in un tenant sotto controllo dell’attore, configurata con un redirect verso un dominio fasullo che ospita malware. A quel punto viene inviato un link OAuth che invita la vittima ad autenticarsi, spesso usando uno scope volutamente non valido. Proprio l’errore genera il reindirizzamento e consente di arrivare alla pagina malevola pur partendo da un URL che sembra legittimo e collegato a servizi noti come Entra ID o Google Workspace.
In diversi casi il risultato è il download di un archivio ZIP contenente componenti progettati per avviare una catena di esecuzione su Windows. Un elemento tipico è un collegamento LNK che, una volta aperto, lancia un comando PowerShell. Lo script viene usato per attività di ricognizione sul sistema, eseguendo comandi di discovery. Dallo ZIP può essere estratto anche un installer MSI che rilascia un documento esca per distrarre l’utente, mentre in parallelo avviene il side loading di una DLL malevola attraverso un eseguibile legittimo. La DLL decifra un ulteriore file e avvia il payload finale in memoria, stabilendo poi una connessione in uscita verso un server di comando e controllo.
Le esche nei messaggi includono richieste di firma elettronica, registrazioni Teams, temi fiscali e previdenziali, argomenti finanziari e politici. Per aumentare la credibilità, alcuni attori inseriscono l’indirizzo email del bersaglio nel parametro state con tecniche di encoding, così da precompilare automaticamente i campi nelle pagine di phishing. In altri scenari i link portano a framework di phishing avanzati come EvilProxy, capaci di intercettare credenziali e cookie di sessione.
Per ridurre il rischio, è consigliato limitare il consenso degli utenti alle applicazioni, rivedere periodicamente i permessi concessi e rimuovere app inutilizzate o con privilegi eccessivi.