Em março, a Microsoft revelou uma série de campanhas de phishing que exploram o funcionamento legítimo do protocolo OAuth — amplamente utilizado em autenticações como “Entrar com o Google” ou “Entrar com a Microsoft” — para redirecionar usuários a conteúdos maliciosos.
O aspecto mais preocupante dessas campanhas é que elas não dependem do roubo de credenciais. Mesmo quando a autenticação falha, o ataque continua avançando. Os principais alvos são organizações governamentais e instituições do setor público.
O que é OAuth e por que ele virou alvo
OAuth é um protocolo de autorização que permite a sistemas verificarem a identidade de um usuário e concederem acesso a recursos em seu nome. Ele é a base de diversos métodos de login simplificado usados na internet.
Um dos recursos do protocolo é o redirecionamento automático em caso de erro durante a autenticação. Normalmente, esse redirecionamento leva o usuário a um endereço seguro previamente configurado pelo desenvolvedor — o chamado URI de redirecionamento.
Como os ataques manipulam o processo de autenticação
Os cibercriminosos descobriram que podem registrar aplicativos falsos em plataformas como Microsoft Entra ID ou Google Workspace e definir um URI de redirecionamento controlado por eles.
Para forçar o redirecionamento, utilizam dois elementos previstos no padrão OAuth. O primeiro é o parâmetro prompt=none, que tenta autenticar o usuário de forma silenciosa, sem exibir tela de login. O segundo é a inserção de um escopo inválido — campo que define as permissões solicitadas pelo aplicativo.
Ao usar um valor inexistente, os atacantes garantem que a autenticação falhe. Com isso, o sistema redireciona automaticamente a vítima para o endereço configurado — que, nesse caso, é um domínio malicioso.
Esse comportamento está de acordo com as especificações técnicas do OAuth (RFC 6749 e RFC 9700), o que significa que a técnica pode ser aplicada em qualquer serviço compatível, não sendo exclusiva de uma única empresa.
Como as vítimas são atraídas
Os ataques começam com e-mails que simulam comunicações corporativas legítimas, como pedidos de assinatura digital, avisos financeiros, redefinições de senha ou notificações de RH.
Em alguns casos, os links maliciosos são escondidos em anexos PDF sem conteúdo textual ou em arquivos de convite de calendário (.ics), dificultando a detecção por sistemas de segurança.
Outra técnica envolve o uso do parâmetro state, originalmente destinado à segurança do OAuth. Os atacantes o utilizam para incluir o e-mail da vítima codificado. Assim, ao acessar a página falsa, o campo de login já aparece preenchido, aumentando a credibilidade e a chance de a vítima inserir sua senha.
O que acontece após o redirecionamento
Depois de redirecionada, a vítima pode ser levada a plataformas intermediárias de phishing, como o EvilProxy, capazes de capturar credenciais e cookies de sessão em tempo real. Com esses cookies, os invasores conseguem acessar contas mesmo protegidas por autenticação em dois fatores.
Em outros casos, o usuário é induzido a baixar um arquivo ZIP contendo um atalho (.LNK). Ao ser executado, ele inicia um script PowerShell que dá início à infecção do sistema.
Como funciona a infecção no dispositivo
O script coleta informações do ambiente, como configurações de rede e processos ativos, para identificar se o alvo é corporativo. Em seguida, extrai arquivos que fazem parte da cadeia de ataque.
Uma técnica chamada DLL sideloading é utilizada: um executável aparentemente legítimo carrega uma biblioteca maliciosa. Essa biblioteca descriptografa e executa a carga final diretamente na memória do sistema — sem deixar rastros no disco.
Esse método, conhecido como malware “fileless”, dificulta a detecção por antivírus tradicionais. Ao final, o malware se conecta a um servidor externo, permitindo que os atacantes controlem o sistema, roubem dados ou instalem novos componentes.
Monitoramento contínuo é essencial
A Microsoft informou que desativou os aplicativos OAuth identificados nessas campanhas. No entanto, alertou que a atividade maliciosa continua ativa, reforçando a necessidade de monitoramento constante e medidas de segurança mais robustas.
