Notícias, Golpes

Os invasores abusam dos redirecionamentos integrados do OAuth para lançar ataques de phishing e malware.

por Pieter Arntz | 4 de março de 2026
É uma armadilha Redirecionamentos OAuth

Os invasores estão a abusar dos redirecionamentos normais de erros OAuth para enviar os utilizadores de uma URL de login legítima da Microsoft ou do Google para páginas de phishing ou malware, sem nunca concluir um login bem-sucedido ou roubar tokens do próprio fluxo OAuth.

Isso requer um pouco mais de explicação.

OAuth (Open Authorization) é um protocolo de padrão aberto para autorização delegada. Ele permite que os utilizadores concedam a sites ou aplicações acesso aos seus dados em outro serviço (por exemplo, Google ou Facebook) sem compartilhar a sua senha. 

O redirecionamento OAuth é o processo em que um servidor de autorização redireciona o navegador do utilizador de volta para uma aplicação (cliente) com um código ou token de autorização após a autenticação do utilizador.

Os investigadores descobriram que os phishers utilizam fluxos de autenticação OAuth silenciosos e âmbitos intencionalmente inválidos para redirecionar as vítimas para infraestruturas controladas pelos atacantes sem roubar tokens.

Então, como é esse ataque na perspetiva do alvo?

Da perspetiva do utilizador, a cadeia de ataques parece mais ou menos assim:

O e-mail

Recebe-se um e-mail com uma proposta comercial plausível. Por exemplo, recebe-se um e-mail sobre algo rotineiro, mas urgente: partilha ou revisão de documentos, um aviso da Segurança Social ou financeiro, um relatório de RH ou de funcionários, um convite Teams ou uma redefinição de palavra-passe.

O corpo do e-mail contém um link como «Ver documento» ou «Revisar relatório», ou um anexo PDF que inclui um link.

Você clica no link depois de ver que parece ser um login normal da Microsoft ou do Google. O URL visível (o que você vê quando passa o cursor sobre ele) parece convincente, começando com um domínio confiável como https://login.microsoftonline.com/  ou https://accounts.google.com/.

Não há sinais evidentes de que os parâmetros (prompt=none, escopo estranho ou vazio, estado codificado) estejam anormais.

OAuth silencioso

A URL criada tenta uma autorização OAuth silenciosa (prompt=none) e usa parâmetros que certamente falharão (por exemplo, um escopo inválido ou ausente).

O provedor de identidade avalia a sua sessão e o acesso condicional, determina que a solicitação não pode ser bem-sucedida silenciosamente e retorna um erro OAuth, como interaction_required, access_denied ou consent_required.

O redirecionamento

Por padrão, o servidor OAuth redireciona o seu navegador, incluindo os parâmetros de erro e o estado, para o URI de redirecionamento registrado do aplicativo, que, nesses casos, é o domínio do invasor.

Para o utilizador, trata-se apenas de um rápido flash de um URL da Microsoft ou do Google seguido por outra página. É improvável que alguém note os erros na string de consulta.

Página de destino

O alvo é redirecionado para uma página que parece ser um site legítimo de login ou de negócios. Pode muito bem ser um clone do site de uma marca confiável.

A partir daqui, existem dois cenários maliciosos possíveis:

Variante de phishing/ataque no meio (AitM)

Uma página de login normal ou um aviso de verificação, às vezes com CAPTCHAs ou intersticiais para parecer mais confiável e contornar alguns controlos.

O endereço de e-mail já pode estar preenchido porque os atacantes o passaram pelo parâmetro de estado.

Quando o utilizador introduz as credenciais e a autenticação multifatorial (MFA), o kit de ferramentas do atacante intermediário intercepta-as, incluindo os cookies de sessão, enquanto as transmite para que a experiência pareça legítima.

Variante de entrega de malware

Imediatamente (ou após uma breve página intermédia), o navegador acede a um caminho de download e descarrega automaticamente um ficheiro.

O contexto da página corresponde ao isco (“Baixe o documento seguro”, “Recursos da reunião” e assim por diante), fazendo com que pareça razoável abrir o ficheiro.

O alvo pode notar a abertura inicial do ficheiro ou algum abrandamento do sistema, mas, fora isso, a invasão é praticamente invisível.

Impacto potencial

Ao recolher credenciais ou instalar um backdoor, o invasor agora tem um ponto de apoio no sistema. A partir daí, ele pode realizar atividades manuais no teclado, mover-se lateralmente, roubar dados ou preparar um ransomware, dependendo dos seus objetivos.

As credenciais e tokens recolhidos podem ser usados para aceder a e-mails, aplicações na nuvem ou outros recursos sem a necessidade de manter malware no dispositivo.

Como se manter seguro

Como o invasor não precisa do seu token neste fluxo (apenas o redirecionamento para a sua própria infraestrutura), a solicitação OAuth em si pode parecer menos suspeita. Fique atento e siga os nossos conselhos:

  • Se você costuma passar o cursor sobre os links, tenha muito cuidado ao ver URLs muito longas com oauth2, authorize e muito texto codificado, especialmente se elas vierem de fora da sua organização.
  • Mesmo que o início do URL pareça legítimo, verifique com um remetente confiável antes de clicar no link.
  • Se algo urgente chegar por e-mail e imediatamente o obrigar a fazer um login estranho ou iniciar um download que não esperava, presuma que é malicioso até que se prove o contrário.
  • Se for redirecionado para um site desconhecido, pare e feche a aba.
  • Tenha muito cuidado com ficheiros que são descarregados imediatamente após clicar num link num e-mail, especialmente se forem provenientes de /download/ caminhos.
  • Se um site disser que você deve «executar» ou «ativar» algo para visualizar um documento seguro, feche-o e verifique novamente em que site você está. Pode ser que haja algo de errado.
  • Mantenha o seu sistema operativo, navegador e as suas ferramentas de segurança favoritas atualizados. Eles podem bloquear automaticamente muitos kits de phishing e downloads de malware conhecidos.

Dica profissional: use Malwarebytes Guard para ajudá-lo a determinar se o e-mail que recebeu é uma fraude ou não.

Não nos limitamos a informar sobre as burlas - ajudamos a detectá-las

Os riscos de cibersegurança nunca devem ir além de uma manchete. Se algo lhe parecer suspeito, verifique se é uma fraude usando Malwarebytes Guard. Envie uma captura de ecrã, cole o conteúdo suspeito ou partilhe um link, texto ou número de telefone, e nós informaremos se é uma fraude ou se é legítimo. Disponível com Premium Malwarebytes Premium para todos os seus dispositivos e no Malwarebytes para iOS Android.

Sobre o autor

Pieter Arntz

Pieter Arntz

Investigador de Inteligência de Malware

Foi um Microsoft MVP em segurança do consumidor durante 12 anos consecutivos. Sabe falar quatro línguas. Cheira a mogno rico e a livros encadernados em pele.

ÚLTIMOS ARTIGOS

Notícias
Grande Muralha da China

O Reino Unido quer mesmo proibir as VPNs? E isso é possível?

março 4, 2026

As notícias sobre um «Grande Firewall Britânico» são exageradas. E mesmo que quisessem, eis porque seria praticamente impossível.

Notícias
É uma armadilha Redirecionamentos OAuth

Os invasores abusam dos redirecionamentos integrados do OAuth para lançar ataques de phishing e malware.

março 4, 2026

Pesquisadores descobriram que invasores estão abusando do OAuth para redirecionar usuários de páginas legítimas de login da Microsoft ou do Google para sites de phishing ou downloads de malware.

Telemóvel
chip Android corrigido

Bug grave da Qualcomm atinge Android em ataques direcionados

março 4, 2026

O Google corrigiu 129 Android , incluindo uma falha ativamente explorada num componente Qualcomm amplamente utilizado.

Ícone dos contribuidores

Contribuintes

Ícone do Centro de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de burla

Fraudes