Notícias, Golpes

Os invasores abusam dos redirecionamentos integrados do OAuth para lançar ataques de phishing e malware.

por Pieter Arntz | 4 de março de 2026
É uma armadilha Redirecionamentos OAuth

Os invasores estão abusando dos redirecionamentos normais de erros do OAuth para enviar usuários de uma URL de login legítima da Microsoft ou do Google para páginas de phishing ou malware, sem nunca concluir um login bem-sucedido ou roubar tokens do próprio fluxo do OAuth.

Isso requer um pouco mais de explicação.

OAuth (Open Authorization) é um protocolo de padrão aberto para autorização delegada. Ele permite que os usuários concedam a sites ou aplicativos acesso aos seus dados em outro serviço (por exemplo, Google ou Facebook) sem compartilhar sua senha. 

O redirecionamento OAuth é o processo em que um servidor de autorização redireciona o navegador do usuário de volta para um aplicativo (cliente) com um código ou token de autorização após a autenticação do usuário.

Pesquisadores descobriram que os phishers utilizam fluxos de autenticação OAuth silenciosos e escopos intencionalmente inválidos para redirecionar as vítimas para uma infraestrutura controlada pelos invasores sem roubar tokens.

Então, como é esse ataque da perspectiva do alvo?

Da perspectiva do usuário, a cadeia de ataques se parece mais ou menos com isto:

O e-mail

Chega um e-mail com uma proposta comercial plausível. Por exemplo, você recebe um e-mail sobre algo rotineiro, mas urgente: compartilhamento ou revisão de documentos, um aviso do Seguro Social ou financeiro, um relatório de RH ou de funcionário, um convite Teams ou uma redefinição de senha.

O corpo do e-mail contém um link como “Ver documento” ou “Revisar relatório” ou um anexo PDF que inclui um link.

Você clica no link depois de ver que parece ser um login normal da Microsoft ou do Google. A URL visível (o que você vê quando passa o mouse sobre ela) parece convincente, começando com um domínio confiável como https://login.microsoftonline.com/  ou https://accounts.google.com/.

Não há sinais evidentes de que os parâmetros (prompt=none, escopo estranho ou vazio, estado codificado) estejam anormais.

OAuth silencioso

A URL criada tenta uma autorização OAuth silenciosa (prompt=none) e usa parâmetros que certamente falharão (por exemplo, um escopo inválido ou ausente).

O provedor de identidade avalia sua sessão e acesso condicional, determina que a solicitação não pode ser bem-sucedida silenciosamente e retorna um erro OAuth, como interaction_required, access_denied ou consent_required.

O redirecionamento

Por padrão, o servidor OAuth redireciona seu navegador, incluindo os parâmetros de erro e o estado, para o URI de redirecionamento registrado do aplicativo, que, nesses casos, é o domínio do invasor.

Para o usuário, isso é apenas um rápido flash de uma URL da Microsoft ou do Google seguido por outra página. É improvável que alguém note os erros na string de consulta.

Página de destino

O alvo é redirecionado para uma página que parece ser um site legítimo de login ou comercial. Esse site pode muito bem ser um clone do site de uma marca confiável.

A partir daqui, existem dois cenários maliciosos possíveis:

Variante de phishing/ataque do tipo “Ataque do Meio” (AitM)

Uma página de login normal ou uma solicitação de verificação, às vezes com CAPTCHAs ou intersticiais para parecer mais confiável e contornar alguns controles.

O endereço de e-mail pode já estar preenchido porque os invasores o passaram pelo parâmetro de estado.

Quando o usuário insere credenciais e autenticação multifatorial (MFA), o kit de ferramentas do invasor intermediário as intercepta, incluindo cookies de sessão, enquanto as transmite para que a experiência pareça legítima.

Variante de entrega de malware

Imediatamente (ou após uma breve página intermediária), o navegador acessa um caminho de download e baixa automaticamente um arquivo.

O contexto da página corresponde ao isco (“Baixe o documento seguro”, “Recursos da reunião” e assim por diante), fazendo com que pareça razoável abrir o arquivo.

O alvo pode perceber a abertura inicial do arquivo ou alguma lentidão no sistema, mas, fora isso, a invasão é praticamente invisível.

Impacto potencial

Ao coletar credenciais ou instalar um backdoor, o invasor agora tem acesso ao sistema. A partir daí, ele pode realizar atividades manuais no teclado, mover-se lateralmente, roubar dados ou instalar ransomware, dependendo de seus objetivos.

As credenciais e tokens coletados podem ser usados para acessar e-mails, aplicativos em nuvem ou outros recursos sem a necessidade de manter malware no dispositivo.

Como se manter seguro

Como o invasor não precisa do seu token neste fluxo (apenas o redirecionamento para sua própria infraestrutura), a solicitação OAuth em si pode parecer menos suspeita. Fique atento e siga nossos conselhos:

  • Se você costuma passar o mouse sobre links, tenha muito cuidado ao ver URLs muito longas com oauth2, authorize e muito texto codificado, especialmente se elas vierem de fora da sua organização.
  • Mesmo que o início do URL pareça legítimo, verifique com um remetente confiável antes de clicar no link.
  • Se algo urgente chegar por e-mail e imediatamente exigir que você faça um login estranho ou inicie um download inesperado, considere que se trata de algo malicioso até que se prove o contrário.
  • Se você for redirecionado para um site desconhecido, pare e feche a guia.
  • Tenha muito cuidado com arquivos que são baixados imediatamente após clicar em um link em um e-mail, especialmente se forem provenientes de /download/ caminhos.
  • Se um site solicitar que você “execute” ou “ative” algo para visualizar um documento seguro, feche-o e verifique novamente em qual site você está. Pode ser que haja algo suspeito.
  • Mantenha seu sistema operacional, navegador e suas ferramentas de segurança favoritas atualizados. Eles podem bloquear automaticamente muitos kits de phishing e downloads de malware conhecidos.

Dica profissional: use Malwarebytes Guard para ajudá-lo a determinar se o e-mail que você recebeu é uma fraude ou não.

Não nos limitamos a informar sobre fraudes - ajudamos a detectá-las

Os riscos de segurança cibernética nunca devem ir além de uma manchete. Se algo parecer suspeito para você, verifique se é uma fraude usando Malwarebytes Guard. Envie uma captura de tela, cole o conteúdo suspeito ou compartilhe um link, texto ou número de telefone, e nós informaremos se é uma fraude ou se é legítimo. Disponível com Premium Malwarebytes Premium para todos os seus dispositivos e no Malwarebytes para iOS Android.

Sobre o autor

Pieter Arntz

Pieter Arntz

Pesquisador de inteligência de malware

Foi Microsoft MVP em segurança do consumidor por 12 anos consecutivos. Fala quatro idiomas. Cheira a mogno e a livros encadernados em couro.

ÚLTIMOS ARTIGOS

Notícias
Grande Muralha da China

O Reino Unido realmente quer proibir as VPNs? E isso é possível?

Março 4, 2026

As notícias sobre um “Grande Firewall Britânico” são exageradas. E mesmo que quisessem, eis porque isso seria praticamente impossível.

Notícias
É uma armadilha Redirecionamentos OAuth

Os invasores abusam dos redirecionamentos integrados do OAuth para lançar ataques de phishing e malware.

Março 4, 2026

Pesquisadores descobriram que invasores estão abusando do OAuth para redirecionar usuários de páginas de login legítimas da Microsoft ou do Google para sites de phishing ou downloads de malware.

Celular
chip Android corrigido

Bug grave da Qualcomm atinge Android em ataques direcionados

Março 4, 2026

O Google corrigiu 129 Android , incluindo uma falha ativamente explorada em um componente Qualcomm amplamente utilizado.

Ícone dos colaboradores

Contribuintes

Ícone da Central de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de golpes

Golpes