Microsoft alerte sur des escroqueries OAuth persistantes livrant des malwares via des redirections

Microsoft a averti les organisations d’escroqueries en cours abusant du protocole OAuth, un standard d’autorisation en ligne pour les identifiants tiers, via des courriels de phishing et des redirections d’URL pour infecter les machines avec des malwares. Ces campagnes visent les organismes gouvernementaux et du secteur public, élaboré lundi par les chercheurs en sécurité de Redmond. Bien que Microsoft Entra ait désactivé les applications OAuth malveillantes, l’équipe de cybersécurité de l’entreprise signale que « l’activité OAuth liée persiste et nécessite une surveillance continue ». Ce type d’abus exploite une fonctionnalité légitime d’OAuth, qui permet aux fournisseurs d’identité comme Microsoft Entra ID ou Google Workspace de rediriger les utilisateurs vers une page d’atterrissage en cas d’erreur. Les criminels créent des URL piégées menant à des pages contrôlées par les attaquants, où les victimes téléchargent à leur insu des fichiers malveillants. Cette vulnérabilité touche un protocole largement utilisé pour les connexions simplifiées sur des sites web, exposant ainsi les secteurs sensibles à des prises de contrôle d’appareils. Lorsqu’une victime ouvre le fichier de raccourci LNK, il déclenche une commande PowerShell effectuant des commandes de découverte pour la reconnaissance de la machine. Celle-ci lance ensuite le fichier légitime steam_monitor.exe, abusé pour charger latéralement un DLL malveillant nommé crashhandler.dll. Ce DLL déchiffre crashlog.dat et exécute la charge finale en mémoire, établissant une connexion sortante vers un serveur de commande et contrôle externe. Microsoft a refusé de répondre aux questions sur l’ampleur et la portée de ces campagnes. Les organisations publiques devraient intensifier la surveillance des activités OAuth pour contrer ces menaces persistantes, dans un contexte où ce protocole reste essentiel aux authentifications modernes malgré ses failles connues.