Los atacantes están abusando de los redireccionamientos normales de error de OAuth para enviar a los usuarios desde una URL de inicio de sesión legítima de Microsoft o Google a páginas de phishing o malware, sin completar nunca un inicio de sesión correcto ni robar tokens del propio flujo de OAuth.
Eso requiere una explicación más detallada.
OAuth (Open Authorization) es un protocolo de estándar abierto para la autorización delegada. Permite a los usuarios conceder a sitios web o aplicaciones acceso a sus datos en otro servicio (por ejemplo, Google o Facebook) sin compartir su contraseña.
La redirección OAuth es el proceso mediante el cual un servidor de autorización devuelve el navegador del usuario a una aplicación (cliente) con un código de autorización o token tras la autenticación del usuario.
Los investigadores descubrieron que los phishers utilizan flujos de autenticación OAuth silenciosos y ámbitos intencionadamente no válidos para redirigir a las víctimas a una infraestructura controlada por los atacantes sin robar tokens.
Entonces, ¿cómo se ve este ataque desde la perspectiva del objetivo?
Desde la perspectiva del usuario, la cadena de ataque se ve más o menos así:
El correo electrónico
Recibes un correo electrónico con un reclamo comercial plausible. Por ejemplo, recibes un correo electrónico sobre algo rutinario pero urgente: compartir o revisar un documento, un aviso del Seguro Social o financiero, un informe de RR. HH. o de un empleado, una invitación Teams o un restablecimiento de contraseña.
El cuerpo del correo electrónico contiene un enlace como «Ver documento» o «Revisar informe», o un archivo PDF adjunto que incluye un enlace.
El enlace
Haces clic en el enlace después de ver que parece ser un inicio de sesión normal de Microsoft o Google. La URL visible (lo que ves cuando pasas el cursor por encima) parece convincente, ya que comienza con un dominio de confianza como https://login.microsoftonline.com/ o https://accounts.google.com/.
No hay signos evidentes de que los parámetros (prompt=none, ámbito impar o vacío, estado codificado) sean anormales.
OAuth silencioso
La URL creada intenta una autorización OAuth silenciosa (prompt=none) y utiliza parámetros que garantizan un fallo (por ejemplo, un ámbito no válido o inexistente).
El proveedor de identidad evalúa tu sesión y el acceso condicional, determina que la solicitud no puede completarse correctamente de forma silenciosa y devuelve un error OAuth, como interaction_required, access_denied o consent_required.
La redirección
Por diseño, el servidor OAuth redirige entonces tu navegador, incluyendo los parámetros de error y el estado, a la URI de redireccionamiento registrada de la aplicación, que en estos casos es el dominio del atacante.
Para el usuario, esto es solo un destello rápido de una URL de Microsoft o Google seguido de otra página. Es poco probable que alguien note los errores en la cadena de consulta.
Página de destino
El objetivo es redirigido a una página que parece un sitio legítimo de inicio de sesión o de negocios. Esto podría muy bien ser un clon del sitio de una marca de confianza.
A partir de aquí, hay dos posibles escenarios maliciosos:
Variante de phishing / atacante en el medio (AitM)
Una página de inicio de sesión normal o un mensaje de verificación, a veces con CAPTCHAs o intersticiales para parecer más fiable y eludir algunos controles.
Es posible que la dirección de correo electrónico ya esté rellenada porque los atacantes la pasaron a través del parámetro de estado.
Cuando el usuario introduce sus credenciales y la autenticación multifactorial (MFA), el kit de herramientas del atacante intermedio las intercepta, incluidas las cookies de sesión, mientras las transmite para que la experiencia parezca legítima.
Variante de entrega de malware
Inmediatamente (o tras una breve página intermedia), el navegador accede a una ruta de descarga y descarga automáticamente un archivo.
El contexto de la página coincide con el reclamo («Descargar el documento seguro», «Recursos para la reunión», etc.), lo que hace que parezca razonable abrir el archivo.
El objetivo podría notar la apertura inicial del archivo o cierta ralentización del sistema, pero, por lo demás, el compromiso es prácticamente invisible.
Impacto potencial
Al recopilar credenciales o instalar una puerta trasera, el atacante ahora tiene un punto de apoyo en el sistema. Desde allí, puede llevar a cabo actividades manuales en el teclado, moverse lateralmente, robar datos o instalar ransomware, dependiendo de sus objetivos.
Las credenciales y tokens recopilados pueden utilizarse para acceder al correo electrónico, aplicaciones en la nube u otros recursos sin necesidad de mantener malware en el dispositivo.
Cómo mantenerse seguro
Dado que el atacante no necesita tu token de este flujo (solo la redirección a su propia infraestructura), la solicitud OAuth en sí misma puede parecer menos sospechosa. Mantente alerta y sigue nuestros consejos:
- Si suele pasar el cursor por encima de los enlaces, tenga mucho cuidado cuando vea URL muy largas con oauth2, authorize y mucho texto codificado, especialmente si provienen de fuera de su organización.
- Aunque el inicio de la URL parezca legítimo, compruébelo con un remitente de confianza antes de hacer clic en el enlace.
- Si recibes un correo electrónico urgente que te obliga a iniciar sesión de forma inusual o inicia una descarga inesperada, asume que se trata de un mensaje malicioso hasta que se demuestre lo contrario.
- Si te redirige a un sitio desconocido, detente y cierra la pestaña.
- Ten mucho cuidado con los archivos que se descargan inmediatamente después de hacer clic en un enlace de un correo electrónico, especialmente si provienen de
/download/caminos. - Si un sitio web te pide que «ejecutes» o «habilites» algo para ver un documento seguro, ciérralo y comprueba bien en qué sitio estás. Puede que haya gato encerrado.
- Mantenga actualizados su sistema operativo, su navegador y sus herramientas de seguridad favoritas. Estos pueden bloquear automáticamente muchos kits de phishing y descargas de malware conocidos.
Consejo profesional: utiliza Malwarebytes Guard para ayudarte a determinar si el correo electrónico que has recibido es una estafa o no.
No sólo informamos de las estafas, sino que ayudamos a detectarlas.
Los riesgos de ciberseguridad nunca deben ir más allá de un titular. Si algo te parece sospechoso, comprueba si se trata de una estafa con Malwarebytes Guard. Envía una captura de pantalla, pega el contenido sospechoso o comparte un enlace, texto o número de teléfono, y te diremos si se trata de una estafa o es legítimo. Disponible con Malwarebytes Premium para todos tus dispositivos y en la Malwarebytes para iOS Android.
